Moulaye Ahmed

مشرف سابق
التسجيل
21/5/13
المشاركات
700
الإعجابات
494
الإقامة
الجزائر
الجنس
Male
#1










سوف نتتطرق الى

تروجان خطير

وهو التروجان المعروف باسم

Trojan.SProtector


وله عده اسماء اخرى منها بالخصوص


Win32/SProtector.D


وسوف نحاول تسليط الضوء على هذا اللعين و كيفية ازالته من الجهاز


من خلال اداة ZHPDaig الرائعة .

وهي مناسبة لمن لديه رغبة في تعلم تحليل التقارير

الاستفادة.



اعراض هذا التروجان :



_ يثبت نفسه كانه مساعد المستعرض BHO لمتصفح الانترنت



_ كما يثبت على اساس انه خدمة تشتغل مع بداية تشغيل الجهاز



_ و يتم تثبيته كانه برنامج

_ دون ان ننسى انه بنشئ عدة مفاتيح في الروجيستري


و ايضا يقوم باضافات مجلدات اضافية



الاسطر الدالة عليه في تقرير اداة ZHPDaig

---\\ Browser Helper Objects de navigateur (O2)

O2 - BHO: FuNDeaalss [64Bits] - {0EA6A3F5-C0C9-AA1E-120F-6BD41323017D} Clé orpheline

O2 - BHO: AllCheapoPorIcee [64Bits] - {370DDBDB-B9BC-598F-D988-A75EBC5A02C4} Clé orpheline

O2 - BHO: DigiiSaver [64Bits] - {DC8E3148-F9CC-6459-4F4F-5502E76CE9C7} Clé orpheline



---\\ Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: Network Acceleration (2384af53) . (...) - c:\progra~3\networ~1\NetworkAccelerationSvc.dll

O23 - Service: Filteligent (3f0ddfac) . (...) - c:\progra~3\filtel~1\FilteligentSvc.dll

O23 - Service: Smooth Browsing (4ccdc918) . (...) - c:\progra~3\smooth~1\SmoothBrowsingSvc.dll

O23 - Service: Browser System Enahncer (671c50b0) . (...) - c:\progra~3\browse~1\BrowserSystemEnahncerSvc.dll

O23 - Service: WinWeb protection (89f7ebe4) . (...) - c:\progra~3\winweb~1\WinWebprotectionSvc.dll

O23 - Service: Winclean performap (def8540c) . (...) - c:\progra~3\wincle~1\WincleanperformapSvc.dll

O23 - Service: Performancer (dfc86759) . (...) - c:\progra~3\perfor~1\PerformancerSvc.dll

O23 - Service: WinSpeed (f1f78e38) . (...) - c:\progra~3\winspeed\WinSpeedSvc.dll



---\\ Logiciels installés (O42)

O42 - Logiciel: Browser System Enahncer - (.Linker Ltd.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{671c50b0}

O42 - Logiciel: EnnjoyCoupon - (.EnjoyCoupoN.) [HKLM][64Bits] --
{2DF3E224-05CD-4113-AA7A-86F2F6607B46}

O42 - Logiciel: Filteligent - (.Winteam.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{3f0ddfac}

O42 - Logiciel: IePluginService12.27.0.3292 -
(.Cherished Technololgy LIMITED.) [HKLM][64Bits] -- IePlugins

O42 - Logiciel: Network Acceleration - (.Goingo.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{2384af53}

O42 - Logiciel: Smooth Browsing - (.Team Work.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{4ccdc918}

O42 - Logiciel: WinSpeed - (.Sourceplace.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{f1f78e38}

O42 - Logiciel: WinWeb protection - (.Zilware.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{89f7ebe4}

O42 - Logiciel: Winclean performap - (.PlanetCore.) [HKLM][64Bits] --
{5F189DF5-2D05-472B-9091-84D9848AE48B}{def8540c}



---\\ HKCU & HKLM Software Keys

[HKCU\Software\45914InstEnd]

[HKLM\Software\Wow6432Node\IePlugin]



---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 28/12/2013 - 0:04:08 - [8,406] ----D C:\ProgramData\Browser System Enahncer

O43 - CFD: 14/01/2014 - 14:11:05 - [0,007] ----D C:\ProgramData\DigiiSaver

O43 - CFD: 31/12/2013 - 10:16:51 - [0,035] ----D C:\ProgramData\fc7f3e65672b9cea

O43 - CFD: 29/12/2013 - 18:58:30 - [8,371] ----D C:\ProgramData\Filteligent

O43 - CFD: 14/01/2014 - 14:11:05 - [0,007] ----D C:\ProgramData\FuNDeaalss

O43 - CFD: 13/01/2014 - 0:24:30 - [0,479] ----D C:\ProgramData\IePluginService

O43 - CFD: 31/12/2013 - 10:16:37 - [0,007] ----D C:\ProgramData\ighfdodmghgponecehdilnfepioockfm

O43 - CFD: 30/12/2013 - 21:24:36 - [8,275] ----D C:\ProgramData\Network Acceleration

O43 - CFD: 30/12/2013 - 9:05:35 - [8,430] ----D C:\ProgramData\Smooth Browsing

O43 - CFD: 01/01/2014 - 8:28:08 - [8,249] ----D C:\ProgramData\Winclean performap

O43 - CFD: 14/01/2014 - 14:18:03 - [4,175] ----D C:\ProgramData\WinSpeed

O43 - CFD: 27/12/2013 - 22:23:56 - [8,294] ----D C:\ProgramData\WinWeb protection

O43 - CFD: 14/01/2014 - 14:11:05 - [0,007] ----D C:\ProgramData\AllCheapoPorIcee



---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)

SS - -- Auto 27/12/2013 180560 -- c:\progra~3\winspeed\WinSpeedSvc.dll (f1f78e38)
. (...) - C:\ProgramData\WinSpeed\WinSpeedSvc.dll

SR - -- Auto 30/12/2013 181584 -- c:\progra~3\networ~1\NetworkAccelerationSvc.dll (2384af53)
. (...) - C:\ProgramData\Network Acceleration\NetworkAccelerationSvc.dll

SR - -- Auto 29/12/2013 179024 -- c:\progra~3\filtel~1\FilteligentSvc.dll (3f0ddfac)
. (...) - C:\ProgramData\Filteligent\FilteligentSvc.dll

SR - -- Auto 30/12/2013 179024 -- c:\progra~3\smooth~1\SmoothBrowsingSvc.dll (4ccdc918) .
(...) - C:\ProgramData\Smooth Browsing\SmoothBrowsingSvc.dll

SR - -- Auto 28/12/2013 179536 -- c:\progra~3\browse~1\BrowserSystemEnahncerSvc.dll (671c50b0)
. (...) - C:\ProgramData\Browser System Enahncer\BrowserSystemEnahncerSvc.dll

SR - -- Auto 27/12/2013 182608 -- c:\progra~3\winweb~1\WinWebprotectionSvc.dll (89f7ebe4)
. (...) - C:\ProgramData\WinWeb protection\WinWebprotectionSvc.dll

SR - -- Auto 01/01/2014 182096 -- c:\progra~3\wincle~1\WincleanperformapSvc.dll (def8540c)
. (...) - C:\ProgramData\Winclean performap\WincleanperformapSvc.dll

SR - -- Auto 10/01/2014 502272 -- (IePluginService) . (.Cherished Technololgy LIMITED.)
- C:\ProgramData\IePluginService\PluginService.exe



---\\ Scan Additionnel (O88 )

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{
0EA6A3F5-C0C9-AA1E-120F-6BD41323017D}]

[HKLM\Software\Classes\CLSID\{0EA6A3F5-C0C9-AA1E-120F-6BD41323017D}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0EA6A3F5-C0C9-AA1E-120F-6BD41323017D}]

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0EA6A3F5-C0C9-AA1E-120F-6BD41323017D}]

C:\ProgramData\AllCheapoPorIcee

C:\ProgramData\WinWeb protection

C:\ProgramData\IePluginService\PluginService.exe





طريقة حذف هذا التروجان

_ في البداية يستحسن حذف جميع البرامج التي تم تحميلها بشكل عشوائي

على الجهاز بالذهاب الى لوحة التحكم اي panneau de configuration

وحذف اي برنامج لم تحمله و لا يحمل اي توقيع .

_ كما ينصح بتعديل جميع صفحات البداية في جميع متصفحات الانترنت التي

تستعملها .

_ كما يجب افراغ محتوى الكاش المتصفح اي تفريغ ذاكرة التخزين المؤقتة

للمستعرض

_ ثم فحص الجهاز باداة ZHPDaig و تحديد الاسطر الدالة عليه

و حذفها باداة ZHPFix


لتفادي حذف اسطر خاصة بالنظام .


_ ثم بعدها نقوم بفحص شامل ببرنامج Emsisoft Anti-Malware

_ و اخيرا لاتنسى تنظيف جهازك ببرنامج CCleaner.

 

أعلى