(( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته

المصدر: (( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته
في منتدى : منتدى بـرامـج الحمــايـة

بسم الله الرحمن الرحيم ​

الاخوة المشاركين في الدورة هذا تقرير هايجاك وتقرير البرامج المثبته لاحد الاخوة عنده مشكله ​

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 03:03:37 ص, on 04/01/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\ChgService.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\Athan\Athan.exe
C:\Program Files\ClocX\ClocX.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\SupportAppXL\AutoDect.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\USER\Application Data\regsrv64.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Documents and Settings\USER\Application Data\1C.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Documents and Settings\USER\Application Data\1B.exe
C:\Documents and Settings\USER\Application Data\1B.exe
C:\WINDOWS\system32\mspaint.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Docum ents and Settings\USER\Application Data\Microsoft\csrss.exe,C:\Program Files\dxUsFsJL\dxmiqroe.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [TWebCamera] "C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun
O4 - HKLM\..\Run: [autodetect] C:\WINDOWS\system32\SupportAppXL\AutoDect.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [AutorunCleaner] C:\Program Files\Autorun Cleaner\Autorun Cleaner 1.0.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe
O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: _uninst_16234007.lnk = C:\Documents and Settings\USER\Local Settings\Temp\_uninst_16234007.bat
O4 - Startup: _uninst_48122826.lnk = C:\Documents and Settings\USER\Local Settings\Temp\_uninst_48122826.bat
O4 - Startup: dxmiqroe.exe
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1263288149593
O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) - http://serv6.7lavoice.org:1999/talkn3.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://216.151.161.74:2010/talk.cab
O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1325634313687
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C0} (BMC Control) - http://74.81.165.121/bmc.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://204.188.225.132/bmc.cab
O16 - DPF: {7253A666-6DA5-4FAE-89B3-BC419653381C} (BMC Control) - http://74.81.174.27/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504708} (BMC Control) - http://174.34.234.77/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504780} (BMC Control) - http://75.126.207.130/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504788} (BMC Control) - http://server.8fa9.com/inc/bmc.cab
O16 - DPF: {7253A666-804A-1108-A4DC-00E04C504788} (BMChat Control) - http://voice6.nilevoice.net:1990/inc/bmchat.cab
O16 - DPF: {7553A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://173.242.123.162/bmc.cab
O16 - DPF: {8246AC2B-4733-4964-A744-4BE60C6731D4} (IMS Control) - http://174.34.234.102:1999/ims.cab
O16 - DPF: {9024091F-CD97-41E1-B1D4-D9079409D453} (IMCv1 Control) - http://serv1.7lavoice.net:1999/talk2011.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504736} (BMC Control) - http://serv6.7lavoice.org:1999/talkn1.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504762} (BMC Control) - http://serv6.7lavoice.org:1999/talkn2012b1.cab
O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) - http://server27.host4ok.com:1999/ReadUid.CAB
O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) - http://204.188.200.114/imscp/talks3n.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: البرنامج الخفي لذاكرة التخزين المؤقت لفئات المكونات - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira FireWall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\System32\ChgService.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: خدمة تحديث Google (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: خدمة Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
--
End of file - 13578 bytes​

وهذا تقرير البرامج المثبته ​

ACDSee Pro
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe Photoshop CS
Adobe Shockwave Player 11.5
Athan Basic 3.6
Avira Premium Security Suite
Bluetooth Stack for Windows by Toshiba
ClocX (1.4)
Compatibility Pack for the 2007 Office system
Conduit Engine
Conexant HD Audio
DirectX10 GFR
Diskeeper 2008 Pro Premier
DivX Plus Web Player
FormatFactory 2.20
Foxit Reader
GMView
Golden Al-Wafi Translator
Google Earth
Google Update Helper
High Definition Audio Driver Package - KB888111
Intel(R) Graphics Media *********** Driver
Intel(R) Graphics Media *********** Driver
Internet Download Manager
iVocalize Web Conference 4
Java(TM) 6 Update 2
K-Lite Mega Codec Pack 5.6.0
Messenger Plus Saudi Toolbar
Messenger Plus! 5
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Application Error Reporting
Microsoft Choice Guard
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Silverlight
Microsoft Text-to-Speech Engine 4.0 (English)
Microsoft User-Mode Driver Framework Feature Pack 1.0.0 (Pre-Release 5348)
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mobily Connect Card
Mobily Connect Card
Mobily Connect Card 03031
MSVC80_x86
MSVC80_x86_v2
MSVCRT
Nero OEM
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
OpenAL
Palringo
PC Connectivity Solution
PowerDVD
REALTEK GbE & FE Ethernet PCI-E NIC Driver
Realtek High Definition Audio Driver
Segoe UI
Skype™ 4.2
Soft Modem with SmartCP
Swiff Point Player 2.1
Synaptics Pointing Device Driver
TaskSwitchXP
TOSHIBA Hotkey Utility
TOSHIBA Web Camera Application
USB 2.0 Card Reader
VC80CRTRedist - 8.0.50727.4053
Visual Task Tips 3.3
WebFldrs XP
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR archiver
Yahoo! Messenger
Your Uninstaller! 2010
YouTube Download & Convert 1.1.2
أداة التحميل Windows Live Upload Tool
برنامج إصلاح (Hotfix) لـ Windows XP (KB952287)‎
برنامج إصلاح (Hotfix) لـ Windows XP (KB976098-v2)‎
‏‏تحديث الأمان لـ Windows Media Player (KB952069)
‏‏تحديث الأمان لـ Windows Media Player (KB954155)
‏‏تحديث الأمان لـ Windows Media Player (KB968816)
‏‏تحديث الأمان لـ Windows Media Player (KB973540)
تحديث أمان لـ Windows Internet Explorer 7 (KB976325)‎
تحديث أمان لـ Windows XP (KB923561)‎
تحديث أمان لـ Windows XP (KB923789)‎
تحديث أمان لـ Windows XP (KB946648)‎
تحديث أمان لـ Windows XP (KB950762)‎
تحديث أمان لـ Windows XP (KB950974)‎
تحديث أمان لـ Windows XP (KB951066)‎
تحديث أمان لـ Windows XP (KB951376-v2)‎
تحديث أمان لـ Windows XP (KB951748)‎
تحديث أمان لـ Windows XP (KB952004)‎
تحديث أمان لـ Windows XP (KB952954)‎
تحديث أمان لـ Windows XP (KB954459)‎
تحديث أمان لـ Windows XP (KB955069)‎
تحديث أمان لـ Windows XP (KB956572)‎
تحديث أمان لـ Windows XP (KB956744)‎
تحديث أمان لـ Windows XP (KB956802)‎
تحديث أمان لـ Windows XP (KB956803)‎
تحديث أمان لـ Windows XP (KB956844)‎
تحديث أمان لـ Windows XP (KB957097)‎
تحديث أمان لـ Windows XP (KB958644)‎
تحديث أمان لـ Windows XP (KB958687)‎
تحديث أمان لـ Windows XP (KB958869)‎
تحديث أمان لـ Windows XP (KB959426)‎
تحديث أمان لـ Windows XP (KB960225)‎
تحديث أمان لـ Windows XP (KB960803)‎
تحديث أمان لـ Windows XP (KB960859)‎
تحديث أمان لـ Windows XP (KB961371-v2)‎
تحديث أمان لـ Windows XP (KB961501)‎
تحديث أمان لـ Windows XP (KB969059)‎
تحديث أمان لـ Windows XP (KB969947)‎
تحديث أمان لـ Windows XP (KB970238)‎
تحديث أمان لـ Windows XP (KB971486)‎
تحديث أمان لـ Windows XP (KB971557)‎
تحديث أمان لـ Windows XP (KB971633)‎
تحديث أمان لـ Windows XP (KB971657)‎
تحديث أمان لـ Windows XP (KB971961)‎
تحديث أمان لـ Windows XP (KB973354)‎
تحديث أمان لـ Windows XP (KB973507)‎
تحديث أمان لـ Windows XP (KB973525)‎
تحديث أمان لـ Windows XP (KB973869)‎
تحديث أمان لـ Windows XP (KB973904)‎
تحديث أمان لـ Windows XP (KB974112)‎
تحديث أمان لـ Windows XP (KB974318)‎
تحديث أمان لـ Windows XP (KB974392)‎
تحديث أمان لـ Windows XP (KB974571)‎
تحديث أمان لـ Windows XP (KB975025)‎
تحديث أمان لـ Windows XP (KB975467)‎
تحديث أمان لـ Windows XP (KB976325)‎
تحديث لـ Windows XP (KB898461)‎
تحديث لـ Windows XP (KB951978)‎
تحديث لـ Windows XP (KB955759)‎
تحديث لـ Windows XP (KB967715)‎
تحديث لـ Windows XP (KB968389)‎
تحديث لـ Windows XP (KB973687)‎
تحديث لـ Windows XP (KB973815)‎
حزمة برامج تشغيل Windows - Nokia Modem (06/01/2009 7.01.0.4)
حزمة برامج تشغيل Windows - Nokia Modem (10/05/2009 4.2)
حزمة برامج تشغيل Windows - Nokia pccsmcfd (08/22/2008 7.0.0.0)
قاموس صخر الجديد
مساعد تسجيل الدخول إلى Windows Live
مصحف النور​

المطلوب // ماهي المشاكل التي يظهرها التقريران من وجهت نظرك وتحليلك و الحلول التي ستقوم بتوجيها لصاحب المشكلة ​

(( ماهو كل شيء يبان في التحليل راجع التقرير قبل تحليله افضل ))​

2_ سيتم مناقشة كل عضوا مشارك في تحليله وطرحه للحل وتوضيح بعض الاشياء ​

3_وفي الاخير ساقوم بشرح المشاكل الموجودة في التقارير وطرق الحل الامثل ان شاء الله ​

مدة تحليل التقرير من طرحه واعطاء الحلول هي اسبوع من بداية طرح التقارير

لاسباب بداء الدورة ولاعطاء باقي المشتركين الفرصه ​

ارجوا من الجميع الالتزام بالتحليل ​

 

بسم الله الرحمن الرحيم ​

تحليلي ​

اولا // قراءه للتقرير قبل تحليله (( فيه اشياء من غير تحليل توضح )) ​

Scan saved at 03:03:37 ص, on 04/01/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945​

اولا الاخ عنده مشكلة في تاريخ الجهاز مما يعني تعطل اشياء مهمه مثل تحديثات الوندوز وبرنامج الحماية وبرنامج الماسنجر ​

وهذا من اول اهتمامتي بعد تنظيف الاصابات ​

النظام يحتاج الى تحديث امني sp3 ​

المتصفح عنده 7 الاصدار 8 افضل واثبت واامن ​

======================​

الان تحليل التقرير ​

توجد لدى طارح المشكلة مشاكل وتتضح في التالي ​

​

​

​

ومضاد الفايروسات يعمل عنده بشكل سليم ​

كيف اكتشفت ذلك ​

من التالي ​

في بداية تحليل التقرير ​

​

ومن القيم هنا واضح ان برنامج الحماية من الفايروسات يعمل بشكل صحيح ​

​

اذن يوجد برنامج حماية في الجهاز ويعمل بشكل صحيح ​

المشكلة اما سيرفرات او باتشات او احصنة طرواده او برامج حماية وصيانة وهمية ​

وهذي تحتاج الى فحص باحدى اداتين او كلاهما افضل ​

والافضل نبداء ب ​

مالوووير بااايت ​

ثم نطلب تقرير جديد ونرى النتائج اذا كان لازال هناك اصابات نعمل ​

SUPERAntiSpyware ​

ونطلب تقرير جديد ​

ثم نزيل ماتبقى من مخلفات باستخدام تقرير رن سكنر ​

تقرير runscanner ​

(( سيتم التطرق اليه في الدرس القادم ))​

========================​

قيم غامضة حبيت ان اوضحها لكم ​

مثلا القيمه هذي ​

​

لا يتعرف عليها الهايجاك ​

لكن القيمه سليمه وترجع لاداة القسم الخاصة بعمل تقرير الهايجاك ​

القيم التاليه ​

​

عملت اضافة للمتصفح ونستطيع التخلص منها بعمل التالي ​

استعادة افتراضيات الاكسبلورر ​

واذا بقيت بعض القيم نحذفها باستخدام اداة الهايجاك ​

 

للاضافات ​

 

بالنسبة للهايجاك


تقريره


عنده ملفات كتيرة فى الـ C عايزة تمسح فورا وفى تترفع على الفايروس توتال


لنشوف عدد الاصابات


اما هنا


القيمة o4 كلهم تالفين ويجب الاصلاح







نعمل كده بالظبط

تابع الشرح على الصور






وطبعا هينتج ملف البيك اب


هنحتاجه بعدين ان وجد اى خطا حذفناه عن طريق الهايجك


هنا كمان





ان معرفشى موقع الخطا علشان كده لازم اقول نعمل زى معملنا للـ o4

وايضا ينظف باداة

[URL="http://www.zyzoom.org/vb/showpost.php?p=1713686&postcount=39"][COLOR=#b02c05]TFC[/COLOR][/URL]​

​

​

و

[COLOR=Navy][URL="http://www.zyzoom.org/vb/showpost.php?p=1520092&postcount=25"]مالوووير بااايت [/URL]
لتنظيف الاصابات الموجودة في جهازه[/COLOR]​

وايضا فى قلة فى التحديثات اظن علشان الويندوز ليس اصلى
ويبيله تفعيل باى كراك او سيريال وغيره
ممكن يقولى على نوع النسخة من سيرفر باك كم واعطيه الكراك حقها



​

تابع ...... يعنى لسه ما خلصت :hh:
k:


وياريت توضح اكتر حول طرح الحلول لان الجهاز المصاب ليس لدى
ولا استطيع ان اعرف ما هو الهدف المصاب وفى اى مكان
نعم ... اعرفه موقع فى البارتشات بس طبعا مومعقولة انى اسوى اطلع نتيجة التقرير
واقعد اقول هذه هذا مصاب وهذا غيره



​

​

 

اهلا بك اخوي البارون
مبادرة طيبة منك و ان شاء الله في ميزان الحسنات
صاحب الجهاز ضحية اختراق
متابع للحلول المقترحة
و تقييم بكل الطرق
ودي و تقديري

​

 

اول شئ
تعطيل استعادة النظام



​

وهذا اعتقد ان ملف من system32 في الوندوز والملف غير شغال لكن لازم يكون شغال على ما اعتقد :i: لكنه مصاب بفايروس ولازمه حذف​

​

​

ملفات ضاره ولازمهن حذف
​

​

وهذا ملف لازمه حذف على طول​

​

​

عنده بعض الملفات التالفه ومعضمهم من القيمة O4 ولازمهن اصلاح​

والقيم الي عليهن اشاره استفهام ​

هي ملفات او برامج عاملة لم يستطع الموقع التعرف على تركيبها من حيث الضرر او عدمه
هنا يأتي دور الخبرة في معرفة البرامج وايضا لمن يحب ان يقوم بفحصها ان يرفعها على موقع الفحص وفحصها
وهذا يعتبر افضل المواقع في هذا المجال​

http://www.virustotal.com/
​

وايضا حذف القيمه التاليه لاستخدامه بروكسيات
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://216.151.161.74:2010/talk.cab
O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1325634313687
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C0} (BMC Control) - http://74.81.165.121/bmc.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://204.188.225.132/bmc.cab
O16 - DPF: {7253A666-6DA5-4FAE-89B3-BC419653381C} (BMC Control) - http://74.81.174.27/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504708} (BMC Control) - http://174.34.234.77/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504780} (BMC Control) - http://75.126.207.130/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504788} (BMC Control) - http://server.8fa9.com/inc/bmc.cab
O16 - DPF: {7253A666-804A-1108-A4DC-00E04C504788} (BMChat Control) - http://voice6.nilevoice.net:1990/inc/bmchat.cab
O16 - DPF: {7553A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://173.242.123.162/bmc.cab
O16 - DPF: {8246AC2B-4733-4964-A744-4BE60C6731D4} (IMS Control) - http://174.34.234.102:1999/ims.cab
O16 - DPF: {9024091F-CD97-41E1-B1D4-D9079409D453} (IMCv1 Control) - http://serv1.7lavoice.net:1999/talk2011.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504736} (BMC Control) - http://serv6.7lavoice.org:1999/talkn1.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504762} (BMC Control) - http://serv6.7lavoice.org:1999/talkn2012b1.cab
O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) - http://server27.host4ok.com:1999/ReadUid.CAB
O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) - http://204.188.200.114/imscp/talks3n.cab​

​

طريقه الحذف
من هنا
تنظيف قيم الهايجاك ​

​

O4
​

من اخطر القيم في التعامل معها واكثرها صعوبة
هي عبارة عن برامج بدء التشغيل وملفات الوندوز التي تعمل مع اقلاع الوندوز
سبب خطورتها هي ان اغلب الفيروسات وبرامج التجسس تكون فيها او تكون مدموجة مع ملفات الوندوز وحذفها قد يسبب خلل في عمل الوندوز​

الافضل دائما فحص الجهاز بمكافح فيروسات قوي وينصح بالتالي​

بالنسبه للبرامج هناك
Messenger Plus Saudi Toolbar
وهو تولبار للمسنجر بلس وينصح بحذفه​

Conduit Engine​

هذا البرنامج هو متخصص في صنع التولبرات او موقع لصنع التولبرات
وانا شخصياً لا انصح بالتولبرات لان معضمها ضاره مثل Ask Toolbar

طريقه حذف التولبرات
حذف التولبارات

و
internet Expolrer 7
يفضل ترقه الاصدار الى 8​

وبالنسبه للوندوز يفضل ترقيه الى Xp Sp`3​

​

اخر شئ يفضل عمل
تنظيف الجهاز من المخلفات
و
حذف الملفات المؤقتة مع استعادة الريجستري
و
اداة dial-a-fix
وهي لاصلاح النظام
و
مالوووير بااايت
للتأكد من سلامه الجهاز​

​

 

سلام عليكم

راح أطلب من صاحب المشكلة خمس أشياء

1) يروح لmsconfig ويعطل كل اللي في بدء التشغيل عدا الافيرا

2) فحص Malwarebytes' Anti-Malware لديه عمليات مشبوهه تعمل مع بدء التشغيل .

C:\WINDOWS\system32\Spy-Net\server.exe

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

C:\Documents and Settings\USER\Application Data\regsrv64.exe

3) حذف قيم في سجل النظام من أداه الهيجاك (قيم تبع إضافات لIE تولبار)
وهي كالتالي :





وأيضا من إضافه وإزاله البرامج حذف : Messenger Plus Saudi/Conduit Engine
4) إعادة تثبت الجافا ملف dll لإضافه الجافا في IE مفقود ..

5) بعد القيام الخطوه الثلاث الاولى تقرير جديد هيجاك و runscanner


:d:

 

اخوي البارون
جزاك الله خير سأكون متابعه للدوره وكل ماتعلمت من شخصك الكريم ومن اخواني الزيزوميين
أسأل الله به أن يرحم والديكم
ويطيل في أعمارهم بالصحه والعافيه
وبارك الله فيكم لهذا العلم النافع والمفيد للناس
خيراً من الذين يصنعون الفيروسات
ويغضبون الله تعالى ويضرون بعباده
لكم كل الود والتقدير الخالص
اختكم في الله laz
​

 

الجهاز فيه مشاكل كثيره يجب حلها، من تقرير Hijackthis فيه ملفات كثير مشبوهه واتوقع فيه فايروس او "باتش" اختراق اسمة csrss.exe ومخفي في أحد مجلدات مايكروسوفت "C:\Documents and Settings\USER\Application Data\Microsoft\" كي ما يوصل له المستخدم أو يبين له انه ملف سليم او مشابهه لملف سليم من ناحية الأسم، ملف ثاني مشبوه هو regsrv64.exe، حسب بحثي طلع انه فايروس مشابه لملف ثاني سليم أسمه regsvr64.exe، اختلاف فقط في مكان الحرفين r و v، ملفين آخرين أتوقع انه باينة انها غير سليمة 1C.exe و 1B.exe، كلا الملفات الثلاث الي قبل " regsrv64.exe و 1C.exe و 1B.exe " في مجلد "C:\Documents and Settings\USER\Application Data\". تحذف جميع الأسطر هنا

أسطر ألـO2 يوجد فيها ملف اتوقع انه تجسس للتول بار ConduitEngine ويسبب اتوقع بطئ للتصفح وفتح صفحات دعايات كثير، السطر هو "O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll" و "O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll" تحذف جميع الأسطر هنا

السطرين "O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe" و"O4 - HKCU\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe" يأكد أن الملف ببداية ردي هو ملف تجسس وينصح حذفه بأداة الكاسبر سكاي، كذلك بنفس القيمة O4 يوجد الملفين الآخرين المشبوهين "O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe" و " O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe" و 1C. تحذف جميع الأسطر هنا

الأسطر التاليه من قيمة O4 خبيثة ويجب حذفها:
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe
O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - Startup: dxmiqroe.exe
تحذف جميع الأسطر هنا

ملفات قيم O14 يجب حذفها وهي قيم تضيفها ملفات التجسس على المتصفح:
O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) - http://serv6.7lavoice.org:1999/talkn3.cab
O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C0} (BMC Control) - http://74.81.165.121/bmc.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://204.188.225.132/bmc.cab
O16 - DPF: {7253A666-6DA5-4FAE-89B3-BC419653381C} (BMC Control) - http://74.81.174.27/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504708} (BMC Control) - http://174.34.234.77/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504780} (BMC Control) - http://75.126.207.130/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504788} (BMC Control) - http://server.8fa9.com/inc/bmc.cab
O16 - DPF: {7253A666-804A-1108-A4DC-00E04C504788} (BMChat Control) - http://voice6.nilevoice.net:1990/inc/bmchat.cab
O16 - DPF: {7553A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://173.242.123.162/bmc.cab
O16 - DPF: {8246AC2B-4733-4964-A744-4BE60C6731D4} (IMS Control) - http://174.34.234.102:1999/ims.cab
O16 - DPF: {9024091F-CD97-41E1-B1D4-D9079409D453} (IMCv1 Control) - http://serv1.7lavoice.net:1999/talk2011.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504736} (BMC Control) - http://serv6.7lavoice.org:1999/talkn1.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504762} (BMC Control) - http://serv6.7lavoice.org:1999/talkn2012b1.cab
O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) - http://server27.host4ok.com:1999/ReadUid.CAB
O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) - http://204.188.200.114/imscp/talks3n.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
تحذف جميع الأسطر هنا

قيمة O21 يجب حذفها
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)
تحذف جميع الأسطر هنا


هذي القيمة ما ادري هل هي سليمة او لا:
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\System32\ChgService.exe

طريقة الحذف:


ثم تنظيف الجهاز بأداة TFC

ننظف الجهاز بأداة kaspersky tool وطريقتها هنا http://www.zyzoom.org/vb/showpost.php?p=1788170&postcount=32

من البرامج يجب ان نحذف Conduit Engine الي هو تول بار مسبب للمستخدم مشاكل بالتصفح وبرامج خبيثه
http://www.zyzoom.org/vb/showthread.php?t=211998

 

لي عوده لا تستعجلو

رح اتناول كل تحليل واوضح لك الصورة كامله

الحل الافضل من الحلول المطروحه ولماذا

ننتظر بقية الاخوه بتحليلهم ثم نبداء كل تحليل نتناوله ونناقشه

الدرس الاول يحتاج لبعض الوقت من الجميع ​

 

السلام عليكم ورحمة الله وبركاته
ربنا يجزيك الخير ويقويك يااخوي عبدالرحمن "البارون"
كبداية يالغالي
لااؤيد التحليل التقرير بسرعة
ماينفع اني اطلب منه حدف القيم بسبب
وجود الاصابات الكثيره والموجوده في التقرير ومنها تتفرع كثيرا
تحتاج الى تطبيقات قبل العمل بالهايجك
راح اطلب منه ان يقوم بالعمل
تعطيل استعادة النظام
بسبب التروجان الموجود في التقرير الهايجك

راح استخدم برنامج
مالوووير بااايت
لتنظيف الاصابات الموجودة في جهازه
ومن ثم راح استخدم معاه برنامج التنظيف
وهي ايضا تنفع للصابات التروجان وهي مخصصة لذلك

اداة smitraudfix
وهي متخصصة في الويندز XP
وتتعامل مع الرجستري
وتنظيف الاصابات الموجوده

وبسبب وجود القيم التالية
O4 - HKCU\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
وهي عباره عن سيرفر اختراق من البرنامج المشهور سباي دوت نت
التعامل مع سيرفر الاختراق
نستخدم برنامج
SUPERAntiSpyware
ومن ثم نطلب التقرير الفحص عن الفيروسات
Dr.Web Tool
وهو الافضل لانه يقوم بعملية الفحص الذاكره وقتل العملية باحتراف
عند وجود الاصابات
ومن ثم اطلب منه التقرير الهايجك جديد
عندها اقدر احدد مكان الاصابات المتبقية واعطيه القيم المصابة ليتم حدفها
الان نيجي نحلل التقرير الهايجك
فيما تبقى من الملفات المصابة
راح اعطيه هذا المسار
C:\Documents and Settings\USER\Application Data\Microsoft\
ومن ثم اطلب منه ان يقوم بعملية رفع الملف التالي
csrss.exe
على موقع فيروس توتل
https://www.virustotal.com/

واجد ان الجافا ايضا عليه استفهام
ولابد من عملية اصلاحه عن طريق
اصلاح جافا الاكسبي

اجد انه هناك كثير من القيم 04
اذا راح استخدم معاه البرنامج
StartUp
لتعطيل بعض البرامج التي تعمل مع بدئ التشغيل الجهاز
القيم الموجوده
في 016 يتم حدف الموجوده عليه الاستفهام
تقرير runscanner
وهي لتحديد القيم الضارة ومن ثم اعطيه للعضو

وفي النهاية لابد من اصلاح مشاكل الفيروسات التي من اثارها
تخريب الوقت او تعطيل اداره المهام .. الخ الخ
يفضل استخدم 3 برامج
بعد الانتهاء من ازالة الفيروسات
اداة dial-a-fix
SUPERAntiSpyware
+
راح انصحه بعمل تحديث للويندز ولو ظهرت النجمة مايكروسفت
تفعيل تحديثات الوندوز وجدار الحماية
راح اعطيه هذا الكراك

اما بنسبه الى البرامج المثبته

Google Update Helper
Messenger Plus Saudi Toolbar
اما بنسبه للمكافح الافيرا
راح انصحه بتغييره لعدة اسباب
ليس لديه خاصية التنظيف
ولايحتوي على طبقات حماية كفاية
وكما وجدنا في التقرير الهكر متوغل لجهازه ومرتاح
راح انصحه بالنورتين
لانه في طبقة سونار وهي متخصصة للباتشات
ولديه خاصية التنظيف
وسهل التعامل مع الشخص المبتدئ

وبكذا تقريبا انهي مع العضو وان جد جديد اكون متابع معاه
هذا وفقك الله ياخوي عبد الرحمن

​

 

السلام عليكم ورحمة الله

ياهلا والله بالجمييع

بسم الله ابداء

تقرير الهايجاك يبين لي كالتالي .

يوجد عمليات في الذاكرة و بداء التشغيل مصابه و بهذي الحالة يفضل استخداام برنامج تنظيف ممتاز ليتعامل مع هذي الاصابات ببرنامج kaspersky Removal Tool


+ يحتاج استخدام اداة حذف التولبارات بعد الفحص الكاسبر
يحدد على القيم التالية ويوتنظيفها مع مراعاات اغلاق جميع المتصفحات

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

- Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) - http://serv6.7lavoice.org:1999/talkn3.cab

O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab

جميع الاستفهامات اللي بقيمة O16 :q:

+ تنظف قيمة
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


ويفضل استخداام مالوووير بااايت لكثرة الملفات التي تعمل بالذاكرة وبدء التشغيل لتأكد من سلامة الجهاز

----------------------

البرامج المثبتة

يحذف منه

Google Update Helper
Messenger Plus Saudi Toolbar


-
انصح حذف برنامج الحماية Avira Premium Security Suite و استبدالة بنورتن سكورتي لأنه افضل من الافيرا :q:

+ تحديث الويندوز Windows XP SP2 قدييم بهذي الحالة يحدث الملفات اللي فيها
ويكون من الموضوع هذا تحويل xp من sp 2 الى sp 3 ‏


و السلام عليكم ورحمة الله

 

بالنسبة لتقرير الهايجاك .. هذا هو تحليلي

حذف القيم التالية

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
C:\Documents and Settings\USER\Application Data\regsrv64.exe
C:\Documents and Settings\USER\Application Data\1C.exe
C:\Documents and Settings\USER\Application Data\1B.exe
C:\Documents and Settings\USER\Application Data\1B.exe
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe
O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) - http://serv6.7lavoice.org:1999/talkn3.cab
O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C0} (BMC Control) - http://74.81.165.121/bmc.cab
O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://204.188.225.132/bmc.cab
O16 - DPF: {7253A666-6DA5-4FAE-89B3-BC419653381C} (BMC Control) - http://74.81.174.27/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504708} (BMC Control) - http://174.34.234.77/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504780} (BMC Control) - http://75.126.207.130/bmc.cab
O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504788} (BMC Control) - http://server.8fa9.com/inc/bmc.cab
O16 - DPF: {7253A666-804A-1108-A4DC-00E04C504788} (BMChat Control) - http://voice6.nilevoice.net:1990/inc/bmchat.cab
O16 - DPF: {7553A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) - http://173.242.123.162/bmc.cab
O16 - DPF: {8246AC2B-4733-4964-A744-4BE60C6731D4} (IMS Control) - http://174.34.234.102:1999/ims.cab
O16 - DPF: {9024091F-CD97-41E1-B1D4-D9079409D453} (IMCv1 Control) - http://serv1.7lavoice.net:1999/talk2011.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504736} (BMC Control) - http://serv6.7lavoice.org:1999/talkn1.cab
O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504762} (BMC Control) - http://serv6.7lavoice.org:1999/talkn2012b1.cab
O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) - http://server27.host4ok.com:1999/ReadUid.CAB
O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) - http://204.188.200.114/imscp/talks3n.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/downloa...derActiveX.cab
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


هذه القيمة يجب ان تحذف وهي ليست من ملفات الويندوز ومصابة
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\System32\ChgService.exe

حذف القيمة مع اعادة تثبيت مسنجر بلس
O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi
\prxtbMess.dll
O3 - Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

حذف القيمة مع اعادة تثبيت الجافا
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

رفع فايروس توتال
O4 - Startup: dxmiqroe.exe

http://www.virustotal.com/

تحليل قائمة البرامج المثبتة

حذف البرامج التالية
Conduit Engine
Messenger Plus Saudi Toolbar

يفضل تحديث البرنامج لاخر اصدار
Windows Internet Explorer 7


تنظيف قيم الهايجاك

فحص بالبرامج التالية
SUPERAntiSpyware
مالوووير بااايت

تنظيف الجهاز من المخلفات

 

اعتذر عن تأخري بالرد حبيب قلبي واستاذي وما شاء الله الشباب ما قصرو بصراحة استفدت من خبرات البعض حتى في ادق التفاصيل

حسب قرائتي للتقرير النظام مصاب وبلاشك بسبب وجود ملفات مشبوهة وحسب التقرير المرفق

تعطيل استعادة النظام بالاضافة الى تنظيف قيم الهايجاك ثم


مالوووير بااايت


​

 

طبعا أولا أريد أشكر البارون فهو انسان راااائع و بصراحة ساعدني كثير في بدايتي في المنتدى
ثانيا نحلل التقرير
الجهاز مصاب(و ينصح بعدم حذف أي قيمه من الهايجاك حتى يتم التأكد أن كان يمكن معالجتها أو لا)
الجهاز مصاب(كيف عرفت من

و في قيم لم يتم التعرف عليها أن كانت سليم أو لا

و في قيم من الممكن أصلاحها او حذفها

)
​

​

​

و بأول لازم
تعطيل استعادة النظام
ثانيا
مالوووير بااايت
ثالثا

باستخدام اداة TFC
الهدف من الاداة هو قوتها بتنظيف ملفات التمب العالقة او صعبة الحذف
وذلك لان الاداة تقوم بتعطيل كل خدمات الوندوز وتنظف ثم تعيد تشغيل الجهاز تلقائيا
رابط تحميل الاداة​

http://oldtimer.geekstogo.com/TFC.exe​

شغلها بدبل كلك لمستخدمين الاكسبي
ومستخدمين الفيستا و 7 حسب الصورة​

​

ثم​

​

وبعد الانتهاء ستخرج رسالة تنبيه الى اعادة تشغيل الجهاز
وبعد الضغط على موافق سيعاد تشغيل الجهاز تلقائيا
ونكون انهينا عملية تنظيف الجهاز بشكل كلي ​

و بعدها يطلب تقرير هايجاك جديد حتى نعلم أن تم الحل أو لا
​

​

 

لم احط ردي وتحليلي وحلي حيكون بالشرح الممل​

 

علي انت مقدم الحل صح بس تطبيقك للخطوات الحل غلط

دام انك شفت فيه اشتباهات وعمليات مشبوهه كان طلبت منه يعمل فحص للجهاز بحسب رويتك للتقرير

اما ببرنامج الكاسبر ريموفل تول او الدكتور ويب او مرلوبيت او دكتور سباي وير

وتشوف التقرير حق البرنامج وهل تم التخلص من الاصابات او لازالت ثم تنتقل لحذف البرامج غير الضروريه ثم تنظيف الجهاز ب tfc ثم تطلب منه تقارير جديده وتشوف كيف التقرير الان

ثم

و
حذف الملفات المؤقتة مع استعادة الريجستري
و
اداة dial-a-fix
وهي لاصلاح النظام

ثم

وبالنسبه للوندوز يفضل ترقيه الى Xp Sp`3

اخر شئ يفضل عمل
تنظيف الجهاز من المخلفات​

 

وعليكم السلام

الخطوتين الاولى لك خطوات خبير صيانة k:k:

ورح تقفز بها 80 في المية في حل المشكلة

ولعلمك الجهاز ملغم باتشات ورح اوضحها في تحليلي

ولكن في خطوتك 3 و 4 المفروض كان تحذف البرامج اول شيء ثم بعدين تحذف بواقي القيم بالهايجاك

وجميل انتباهك للقيم ونوعيتها :king:

ولا تنسى تنظف الجهاز بالادوات المتوفره قبل طلب التقارير من جديد ​

 

علي انت انتبهت لوجود عمليات مشبوهه وشكيت انها فايروسات او برامج او سيرفرات اختراق من قراتك للتقرير وتحليله

كان طلبت منه يعمل فحص للجهاز بحسب رؤيتك للتقرير

اما ببرنامج الكاسبر ريموفل تول او الدكتور ويب او مرلوبيت او دكتور سباي وير

بعدين لازم تطلب تقرير جديد عشان تشوف وين وصلت مع صاحب المشكلة

وتحذف البرامج الضارة وغير المهمه وتنظف الجهاز باداة TFC

ثم تطبق حذف القيم الضارة من برنامج الهايجاك وتنظف الجهاز باداة TFC

وتتابع لحد ماتنهي المشكلة حسب رويتك


​

 

يعطيك العافيه حاتم ​