1. إستبعاد الملاحظة
  2. الإدارة العامة

    صفحة منتديات زيزووم للأمن والحماية

  3. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية الفيس بوك

  4. الإدارة العامة

    الصفحة الرسمية لمنتديات زيزووم للأمن والحماية التلكرام

فايروس الاوتورن يعود بقوة ارجو المساعدة

الموضوع في 'منتدى مشاكـل وحلول الحـاسب' بواسطة emadii99, بتاريخ ‏ديسمبر 24, 2007.

حالة الموضوع:
مغلق
  1. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP


    السلام عليكم اخواني الزيزوميين .. وتحية خاصة لقائد الفيلق الاخ زيزووم الذي عودنا على اغتيال الفيروسات بمختلف انواعها ..
    فيروس قديم جديد .,. او بالاحرى متجدد ... كان يعرف سابقا بفايروس Copy.exe و معه بقية افراد العصابة : host.exe & autorun.inf

    اظنه اليوم قد قام بتطوير نفسه .. واصبح يحمل اسم : SCVVHSOT.exe أو أنه فايروس جديد ويضع نفسه داخل مجلد الويندوز و مجلد system32

    انجازات الفايروس العظيمة :
    بصراحة لا استطيع حصرها كلها لكثرتها .. و لكني سأذكر الأبرز منها :

    * اهم انجاز .. يقوم بضرب الكاسبر سكاي مهما كان الاصدار ..أي انه يقوم بتعطيل البرنامج اولا و ثانيا يقوم بتعطيل اصلاح البرنامج أو حتى حذفه ( حتى اني استخدمت برنامج Your Uninstall 2008 ) ولم استطيع ازالته وبالتالي ايضا لا استطيع تحميل اي اصدار اخر من الكاسبر ما دام هناك نسخة موجودة و لم تتم ازالتها ...

    * يقوم بتعطيل عملية ال run ويقوم لك انه تم حظرها من المسؤول

    * يعطل ادارة المهام Windows Task Manager ويغلقها فور فتحها ..

    * يعطل استعادة النظام System Restore يقول لك ان الملف معطوب :blbyeh:

    * هههههههههه :frown: يعطل حتى الدخول بوضعية الامان للويندوز Safe mode اول ما تختار السيف مود يعمل ريستارت الجهاز ..

    * ينسخ نفسه بداخل كل مجلد بنفس اسم المجلد وشكل مجلد ولكنه exe :frown: اذا ضغطت عليه بالغلط تجيب العيد .....:jhuyno:

    * أحيانا وبشكل عشوائي يقوم باغلاق أي شيء مفتوح بالجهاز يخطر على باله ... صفحة انترنت - ريل بلير .. صفحة اوفيس - صورة .. ( ليس بشكل جماعي انما واحدة منهم ) بشكل استفزازي :angry:

    * يعطب بعض البرامج .. اي بشكل عام يصيب بعض ملفات ال exe.

    استخدمت مجموعة الادوات التي قام الاخ الكينج مشكورا بوضعها هنا :

    [​IMG]



    واستعملت جميع الاداوت الموجودة بالاصدار و تم حل بعض مشاكل مسؤول النظام ولكن سرعان ما يزول مفعول الجرعة بدون سبب .. و يعود كما كان .. صدق او لا تصدق .. يعني استعملت الادوات الموجودة و استطعت الدخول مثلا الى الrun واستطعت فتح صفحة ادارة المهام .. و لكن بعد دقائق اردت الدخول مرة اخرى لكي اتفاجأ بأن المشكلة قد عادت كما كانت وقمت بمسح جميع الملفات التي تبدا مع بدأ التشغيل من ال mscofig



    قمت اليوم بعد محاولات يائسة لحذفه بعمل فورمات ولم اقم بفرمتت بقية الاقراص لانها مليئة بالملفات المهمة .. وبعد الفورمات بعشر دقائق قام الفايروس مشكورا بالقفز مرة اخرى الى مجلد الويندوز :blbyeh: ( مع العلم اني لم اقم بفتح اي قرص ثاني غير السي .. صدق او لا تصدق )

    تذكرت انجاز اخر للفايروس :

    * يقوم بجعلك تكتب موضوع طويل في المنتدى مما يؤدي لاصابة الاخوة الاعضاء بالملل :noskjiuyweat:





    له اسم اخر قد لمحته اليوم لأول مرة .. و هو kongxsg.exe

    [​IMG]


    و كما يقول المثل موضوع طويل عريض خير من تقرير هايجاك ..............


    أرجو أن أكون قد أتيت لكم بمهمة جديدة وليست بالمستحيلة لاعضاء عصابة زيزووم ... أهم شي لا احد يقلي فرمت باقي الاقراص لان عليها ملفات مهمة و حجم الملفات مجموعة ما يقارب الاربعين غيغا ..:frown:


    مشكورين سلفا .... والسلام عليكم و رحمة الله وبركاته
     
  2. MAAX

    MAAX عضوشرف

    إنضم إلينا في:
    ‏يوليو 25, 2007
    المشاركات:
    46,402
    الإعجابات :
    2,660
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    قريب منك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    مع ان العنوان كان جميل الا انه مخالف للقوانين
    اعذرنا وانا اخوك غيرناه:blusnuphing:
     
  3. MAAX

    MAAX عضوشرف

    إنضم إلينا في:
    ‏يوليو 25, 2007
    المشاركات:
    46,402
    الإعجابات :
    2,660
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    قريب منك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    حمل هذا البرنامج
    http://www.zyzoom.net/soft/security/...HijackThis.exe
    اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
    لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم
     
  4. الآمل الطائر

    الآمل الطائر مطرود

    إنضم إلينا في:
    ‏ديسمبر 1, 2007
    المشاركات:
    15,409
    الإعجابات :
    53
    نقاط الجائزة:
    0
    الإقامة:
    الدمــــــــــــــام
  5. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    معذور و انا خوك وعذرا لم أنتبه الى ان العنوان مخالف للوائح و القوانين الزيزوومية



    لازم يعني الهايجاك .. يا اخي عندي حساسية منو مدري ليه:biggrin: ... عالعموم تفضل :


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:41:00 م, on 24/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Common Files\System\jiejgvo.exe
    C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Windows Media Player\wmplayer.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\JetAudio\jetAudio.exe
    C:\Program Files\Caffe\Server.exe
    C:\Documents and Settings\lLavanda\Desktop\Small.CHA_Removal.exe
    C:\Documents and Settings\lLavanda\Desktop\Zyzoom_HijackThis.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe
    O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
    O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
    O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe
    O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVVHSOT.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: BlueSoleil.lnk = ?
    O8 - Extra context menu item: ت&صدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C3C2023D-0001-46BE-9B95-120DD3E1232A}: NameServer = 82.137.216.10,82.137.216.11
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    --
    End of file - 5513 bytes​


    كان هذا تقريرنا من داخل الجهاز ... مع تلوين الملفات المصابة ..وهذا الملف :
    jiejgvo.exe
    نسيت ذكره في موضوعي لانه ايضا كما ترون متواجد في السواقات وهو تابع للفايروس الاساسي ... وشكرا
     
  6. MAAX

    MAAX عضوشرف

    إنضم إلينا في:
    ‏يوليو 25, 2007
    المشاركات:
    46,402
    الإعجابات :
    2,660
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    قريب منك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    شوف ياغالي ,,, حمل هذه الاداة ,,
    واتبع الشرح التالي ,, لتنظيف جهازك من الفيروسات
    و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

    رابط الاداة



    شرح الاستخدام ,,,,,,

     
  7. boob77

    boob77 زيزوومى فضى

    إنضم إلينا في:
    ‏يوليو 23, 2007
    المشاركات:
    6,816
    الإعجابات :
    98
    نقاط الجائزة:
    840
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    السلام عليكم

    ادخل هالموضوع واعمل فحص بالاداة

    http://www.zyzoom.org/vb/t3222.html

    ونزل هالاداة خاصة لازالة فايروس الاوتورن

    http://www.zshare.net/download/5882055f8ce7c2/

    بالنسبة للتقرير احذف هالقيم

    O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dl

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll

    O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe

    O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe

    O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe

    O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe

    O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVVHSOT.exe

    بعد ما تخلص اعد التشغيل واعمل تقرير ثاني
     
  8. boob77

    boob77 زيزوومى فضى

    إنضم إلينا في:
    ‏يوليو 23, 2007
    المشاركات:
    6,816
    الإعجابات :
    98
    نقاط الجائزة:
    840
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    فديتك ردينا مع بعض :iconmju30:
     
  9. MAAX

    MAAX عضوشرف

    إنضم إلينا في:
    ‏يوليو 25, 2007
    المشاركات:
    46,402
    الإعجابات :
    2,660
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    قريب منك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    منور حبيبي :sunglasses:

    بس عشان ما يصير اختلاط على الرجال انت عطيته موضوع يفحص بالكاسبر وانا عطيته للمكافي وهي ماتفرق اي وحدة يسوي مو مشكلة
     
  10. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    والله ياخوي شسويله مادري وش اقلك ... يظهر المشكلة مستعصية ... الاداة صرلها ساعتين بالزبط شغالة و معلقة عند مجلد و مو راضية تحذفه ولا تكمل .. والمجلد نفسو هو ملف مضغوط لا يقبل الحذف ولا التحريك ولا النسخ ولا اعادة التسمية ... كما هو واضح في الصورة وقمت باعادة تشغيل الاداة وعملت ريستارت للجهاز اكثر من مرة ولكنه يعود ويقف بالساعات عند هذا الملف .... :frown:

    [​IMG]
     
  11. MAAX

    MAAX عضوشرف

    إنضم إلينا في:
    ‏يوليو 25, 2007
    المشاركات:
    46,402
    الإعجابات :
    2,660
    نقاط الجائزة:
    1,170
    الجنس:
    ذكر
    الإقامة:
    قريب منك
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
  12. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    بعد التعب والكلل والملل منذ ا لأمس مواصل الى اليوم والساعة الان الثامنة صباحا و انا في صراع مستمر مع الفيروس ابن .. الحلال .. الظاهر يا عم شسويله .. الفايروس بطريقة أو بأخرى قدر يتغلب على الاداة ..ثمان ساعات متواصلة في محاولات فاشلة لاكمال عملية البحث بهذه الأداة و كل مرة يقف بها البحث عند احد ملفات الفايروس .. واقوم بحذفه يدويا بالبرنامج الذي وضعته لي في الرد السابق .. و اعيد البحث لاجد انه توقف عند ملف اخر .. أو يقوم الملف المحذوف بنسخ نفسه مرة أخرى :disappointed: أن هذا الفايروس قد أثقل كاهلي وأصابني باليأس والاحباط ... وغدوت أرى قصة فرمتة الهارد كاملا .. أمرا شبه محسوم ..:disappointed: ارجوكم ساعدوني اني اغرق اغرق ...وجدت مساحة خالية في الموضوع فآثرت أن اتركها فارغة .. سوف أملأها باخر تقرير للعم هايجاك :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:55:59 ص, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Common Files\System\jiejgvo.exe
    C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
    c:\Zyzoom_AVG_Anti-Spyware_Plus_7.5.1.43_Portable\guard.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\autorun.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_s.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\xcopy.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_s.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\xcopy.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_f.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\xcopy.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_f.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\xcopy.exe
    C:\zyz_mcafee\VirusScan Enterprise\run.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\JetAudio\jetAudio.exe
    C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kav_install_s.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\xcopy.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Documents and Settings\lLavanda\Desktop\Icon\Zyzoom_HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    F2 - REG:system.ini: UserInit=userinit.exe
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe
    O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
    O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader (2).lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: BlueSoleil.lnk = ?
    O8 - Extra context menu item: ت&صدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 8.0\SCIEPlgn.dll (file missing)
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EFE2196D-87DC-49B2-9C68-C750E84908BE}: NameServer = 82.137.216.10,82.137.216.11
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - c:\Zyzoom_AVG_Anti-Spyware_Plus_7.5.1.43_Portable\guard.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 6719 bytes
     
  13. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    قمت اليوم بتنزيل اسطوانة الاخ زيزووم للكاسبر سكاي .. واستعملت اداة ازالة جميع اصدارات الانتي فيروس .. و لم احصل على نتيجة .. في كل مرة احاول بها ان أزيل البرنامج الموجود او اعيد اصلاحه تأتيني هذه المسسج

    [​IMG]

    الى الان قمت تقريبا باستعمال كل اداوت حذف الفيروسات الموجودة في هذا المنتدى .. والفايروس لا يزال في ا لانتشار والتوسع .. الان يقوم باغلاق اي صفحة اقوم بفتحها .. حتى برنانج الانترنت كفي .. مع اني اعدت تنصيبه من جديد .. اخاف ان يتطور الامر به ألى أن يمنعني من المقدرة من الكتابة هنا :frown:​
     
  14. زيزوووم

    زيزوووم عضو شرف

    إنضم إلينا في:
    ‏يوليو 15, 2007
    المشاركات:
    7,862
    الإعجابات :
    1,274
    نقاط الجائزة:
    1,020
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows XP
    هلااا فيك ياغالي ,,

    لاهنت اتبع التالي وبالترتيب :smile:

    ( اولااا )
    قفل متصفح الانترنت
    وباستخدام البرنامج Hijack This اللي عملت فيه التقرير
    اعمل فحص جديد واشر على هذه القيم >>> واضغط على Fix Checked


    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb


    O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)


    O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll


    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll


    O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe


    O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe


    O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe


    O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe


    O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 8.0\SCIEPlgn.dll (file missing)




    وهذا شرح للعمليه (( القيم غير حقيقيه اللهم للشرح ))
    [​IMG]




    [​IMG]

    ( ثانياا )
    حمل هذه الاداة ,, وقم بتشغيلهاا ( سوف يعاد تشغيل جهازك بشكل تلقائي )
    بعدها يظهر لك تقرير ,, انسخه والصقه بردك القادم
    http://www.zshare.net/download/589469418d7f22/

    [​IMG]
    ( ثالثاا )
    اعد تشغيل جهازك ,, واعمل تقرير هايجاك جديد
     
  15. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    اهلين بالغالي .. نورت موضوعي و ما نشوفك بمشاكل انشالله ... رح اعمل يلي طلبتو مني مباشرة .. بس حبيت تشوف صورة الفيروس عن قرب .. ازا عندك فكرة عنو ... و لي عودة بالرد القادم .. شكرا لك اخي الغالي .. و شكرا لجميع مين تفاعل معي بالموضوع ..

    [​IMG]
     
  16. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    اخوي زيزووم بارك الله فيك .. سويت زي ما قلتلي ولكن لم اجد كل القيم المذكورة .. وجدت قيمة واحد فقط و قمت باصلاحها .. و هذا التقرير الجوي الي اجا بعد الريستارت



    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\yinijgka
    *******************
    Script file located at: \??\C:\WINDOWS\system32\mvkqfqxi.txt
    Script file opened successfully.
    Script file read successfully
    Backups directory opened successfully at C:\Avenger
    *******************
    Beginning to process script file:
    File C:\Program Files\Common Files\System\jiejgvo.exe deleted successfully.
    File C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe deleted successfully.
    File C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll deleted successfully.
    File C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll deleted successfully.

    File C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe not found!
    Deletion of file C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe failed!
    Could not process line:
    C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
    Status: 0xc0000034
    File C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe deleted successfully.
    Folder C:\Program Files\BearShare Applications deleted successfully.
    Completed script processing.
    *******************
    Finished! Terminate.
     
  17. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    و هذا تقرير الهايجاك الاخير .. مع صورة فوتوغرافية ....


    [​IMG]


    ..............................................​


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:20:47 ص, on 25/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\lLavanda\Desktop\Icon\Zyzoom_HijackThis.exe
    F2 - REG:system.ini: Shell=Explorer.exe
    F2 - REG:system.ini: UserInit=userinit.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Remote Funk.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EFE2196D-87DC-49B2-9C68-C750E84908BE}: NameServer = 82.137.216.10,82.137.216.11
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    --
    End of file - 1720 bytes
     
  18. زيزوووم

    زيزوووم عضو شرف

    إنضم إلينا في:
    ‏يوليو 15, 2007
    المشاركات:
    7,862
    الإعجابات :
    1,274
    نقاط الجائزة:
    1,020
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows XP

    هلااا بيك وتسلم ياذووق

    اخوي ,, الفايروس >>> الملف kongxsg.exe فقط
    والباقي للنظام (( مجلدات مخفيه ))
    والمجلد autorun.inf حتى يحميك من الفايروس (( حتى مايشتغل عند فتح اي قرص في الجهاز ))

    --------------------

    لاهنت حمل هذه الاداة ,, وقم بتشغيلهاا ( سوف يعاد تشغيل جهازك بشكل تلقائي )
    بعدها يظهر لك تقرير ,, انسخه والصقه بردك القادم
    http://www.zshare.net/download/58977922555428/

    بعدهاا اعمل تقرير هايجاك جديد ,,
     
  19. emadii99

    emadii99 زيزوومي جديد

    إنضم إلينا في:
    ‏ديسمبر 6, 2007
    المشاركات:
    84
    الإعجابات :
    11
    نقاط الجائزة:
    90
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows XP
    ابشرك قمت بتحميل الاداة و شغلتها والجهاز عمل ريستارت .. ولكن الجهاز الان لا ييفتح ابدا .. لا يقوم بتسجيل الدخول الى حساب الويندوز ... يعمل لوغ اون و على طول وراه لوغ اوف وحتى دخلت من الادمن نفس الموضوع ... و دخلت سيف مود نفس لموضوع الجهاز مو راضي يدخل على النظام .. Log on وراه على طول Log off ... فورمات ؟؟؟؟؟؟؟؟؟؟
     
  20. boob77

    boob77 زيزوومى فضى

    إنضم إلينا في:
    ‏يوليو 23, 2007
    المشاركات:
    6,816
    الإعجابات :
    98
    نقاط الجائزة:
    840
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 7
    هلا فيك اخوي

    اغلق الجهاز وخله فترة وعقب شغله

    اذا صارت نفس المشكلة روح على خيارت الوضع الامن واختار الخيار الثالث اعتقد command promt

    ثم اعمل التالي

    [​IMG]

    راح يظهر لك مدير المهام اختر ملف مهمة جديدة

    والصق هذه العبارة

    systemroot%\system32\restore\rstrui.exe%

    راح تجيك صفحة استعادة النظام وان شاء الله تكون شغالة
    _______________________________

    اذا ما نفع اختر من الخيارات هذا

    last known good configuration

    اذا ما نفع لازم اسطوانة الويندوز عشان تعمل ريبير


     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...