فيروس بجهازي + مشكلة الكاسبر

الله يقويك


..

 

جيت بتقرير

كيف يدخل ملف التجسس بدون ما يتصل بالنت

هذا االجهاز ما تصل بالنت ابد جديد بس الظاهر الفايروساات وصلت له عن طريق الميموري






هذا التقرير على فكرة ما عاد التشغيل عطاني التقرير بدون رستات



ComboFix 10-01-03.01 - user 01/03/2010 1:08.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1256.966.1025.18.2008.1478 [GMT 3:00]
Running from: c:\documents and settings\user\سطح المكتب\KittyFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\documents and settings\user\Application Data\tazebama
c:\documents and settings\user\Application Data\tazebama\tazebama.log
c:\documents and settings\user\Application Data\tazebama\zPharaoh.dat
C:\SIN
c:\sin\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Desktop.ini
c:\sin\S-2-3-12-ABCDEF7890-01234567890-1688963592-500\Maq.exe
C:\zPharaoh.exe
D:\Autorun.inf
D:\zPharaoh.exe
.
((((((((((((((((((((((((( Files Created from 2009-12-02 to 2010-01-02 )))))))))))))))))))))))))))))))
.
2010-01-02 14:27 . 2010-01-02 17:37 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Runscanner.net
2010-01-02 13:13 . 2010-01-02 21:37 32768 ----a-w- c:\documents and settings\tazebama.dll
2010-01-02 12:10 . 2010-01-02 12:52 -------- d-----w- C:\ComboFix
2010-01-01 13:50 . 2010-01-01 13:50 -------- d-----w- c:\windows\system32\wbem\Repository
2010-01-01 11:39 . 2010-01-01 11:39 -------- d-----w- c:\documents and settings\user\Application Data\CyberScrub
2009-12-31 23:38 . 2009-12-31 23:38 -------- d-----w- c:\program files\Abadisoft Group
2009-12-31 20:16 . 2009-12-31 20:16 -------- d-----w- c:\documents and settings\user\Application Data\Malwarebytes
2009-12-31 20:16 . 2009-12-30 11:55 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-31 20:16 . 2009-12-31 20:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-31 20:16 . 2009-12-31 20:16 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-31 20:16 . 2009-12-30 11:54 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-31 12:53 . 2009-12-31 12:53 33792 ----a-w- c:\documents and settings\user\eadefaem9.exe
2009-12-31 12:45 . 2009-12-31 12:58 511 ----a-w- c:\documents and settings\user\easdjadee8.exe
2009-12-30 20:15 . 2009-12-30 21:13 33792 ----a-w- c:\documents and settings\user\eadefaed5.exe
2009-12-30 20:08 . 2009-12-30 20:08 -------- d-----w- c:\program files\cdromdeaf
2009-12-30 20:08 . 2009-12-30 20:08 -------- d-----w- c:\documents and settings\user\Application Data\cdromdeaf
2009-12-30 20:06 . 2009-12-30 20:06 -------- d-----w- c:\program files\Circl Developement
2009-12-17 12:58 . 2009-12-17 12:58 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-12-16 22:19 . 2009-12-30 10:14 885160 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2009-12-16 17:51 . 2009-12-16 17:51 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\IsolatedStorage
2009-12-16 17:51 . 2009-12-16 21:24 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Nokia
2009-12-16 17:42 . 2009-12-16 17:42 -------- d-----w- c:\documents and settings\All Users\Application Data\NokiaMusic
2009-12-16 17:40 . 2009-12-16 17:41 -------- d-----w- c:\program files\Common Files\muvee Technologies
2009-12-16 17:38 . 2009-12-16 17:43 -------- d-----w- c:\windows\Globalization
2009-12-16 17:20 . 2009-12-16 17:20 -------- d-----w- c:\program files\MSXML 6.0
2009-12-16 00:37 . 2009-12-16 00:37 -------- d-----w- c:\documents and settings\SYSTEM
2009-12-09 09:24 . 2009-12-09 09:24 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Help
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 21:41 . 2001-09-19 11:00 71888 ----a-w- c:\windows\system32\perfc001.dat
2010-01-02 21:41 . 2001-09-19 11:00 377962 ----a-w- c:\windows\system32\perfh001.dat
2010-01-02 16:12 . 2009-03-27 01:34 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-02 14:30 . 2009-03-27 02:03 203631 ----a-w- c:\windows\AKDeInstall.exe
2010-01-02 13:44 . 2009-03-27 11:14 229743 ----a-w- c:\windows\ST6UNST.EXE
2010-01-02 13:38 . 2010-01-01 11:38 782012 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\run.exe
2010-01-02 13:38 . 2010-01-01 11:38 529911 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\Launcher.exe
2010-01-02 13:38 . 2010-01-01 11:38 4395887 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\PrivacySuite.exe
2010-01-02 13:38 . 2010-01-01 11:38 287599 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\2.exe
2010-01-02 13:38 . 2010-01-01 11:38 222063 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\1.exe
2010-01-02 13:38 . 2010-01-01 11:38 1033207 ----a-w- c:\documents and settings\user\Application Data\zyzcleaner\CSPSeraser.exe
2010-01-02 13:38 . 2009-03-27 11:07 547191 ----a-w- c:\documents and settings\user\Application Data\Real\RealPlayer\setup\AU_setup6.exe
2010-01-02 13:38 . 2009-03-27 11:12 201583 ----a-w- c:\documents and settings\user\Application Data\Microsoft\Installer\{885A63EA-382B-4DD4-A755-14809B8557D6}\ARPPRODUCTICON.exe
2010-01-02 13:33 . 2009-03-27 02:05 34130135 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Nokia_PC_Suite_7_1_18_0_ara_web.exe
2010-01-02 13:28 . 2002-08-14 12:03 222063 ----a-w- c:\documents and settings\All Users\Application Data\Symantec\Ghost\aspiinst.exe
2010-01-02 13:13 . 2008-07-29 08:03 18653059 ----a-w- c:\documents and settings\Administrator\Application Data\TMP\setup.exe
2010-01-02 13:09 . 2009-03-27 11:27 -------- d-----w- c:\program files\Real_SC
2010-01-01 11:38 . 2010-01-01 11:38 -------- d-----w- c:\documents and settings\user\Application Data\zyzcleaner
2009-12-30 20:06 . 2009-03-27 11:22 -------- d-----w- c:\program files\Messenger Plus! Live
2009-12-16 17:51 . 2009-03-27 01:55 99912 ----a-w- c:\documents and settings\user\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-16 17:49 . 2009-03-27 02:06 -------- d-----w- c:\documents and settings\user\Application Data\Nokia
2009-12-16 17:44 . 2009-03-27 02:05 -------- d-----w- c:\program files\Common Files\Nokia
2009-12-16 17:44 . 2009-03-27 02:05 -------- d-----w- c:\program files\Nokia
2009-12-16 17:23 . 2009-12-16 17:23 -------- d-----w- c:\program files\MSBuild
2009-12-16 17:23 . 2009-12-16 17:23 -------- d-----w- c:\program files\Reference Assemblies
2009-11-21 09:59 . 2009-11-21 09:59 -------- d-----w- c:\documents and settings\user\Application Data\DivX
2009-11-18 20:38 . 2009-11-18 20:38 -------- d-----w- c:\documents and settings\user\Application Data\CyberLink
2009-10-22 09:57 . 2009-03-27 12:04 27262976 ----a-w- C:\VIRTPART.DAT
.
------- Sigcheck -------
[-] 2008-01-01 . DABAD58A8BA625B241B90FB1A81154ED . 1547776 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-12-31_19.24.56 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-09-19 11:00 . 2009-12-31 19:11 71784 c:\windows\system32\perfc009.dat
+ 2001-09-19 11:00 . 2010-01-02 21:41 71784 c:\windows\system32\perfc009.dat
+ 2004-08-03 20:56 . 2004-08-03 20:56 69120 c:\windows\system32\notepad.exe
+ 2004-08-03 20:56 . 2004-08-03 20:56 72704 c:\windows\system32\magnify.exe
+ 2009-12-16 17:43 . 2010-01-02 13:40 69632 c:\windows\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut212_CD940B804F7E4FB6B97EA7E8F6400EB1.exe
+ 2009-12-31 23:38 . 2009-12-31 23:38 53248 c:\windows\Installer\{6606E32D-288C-4FF6-9EC8-E7961954B028}\ARPPRODUCTICON.exe
+ 2010-01-01 13:50 . 2010-01-01 13:51 950860 c:\windows\system32\Restore\rstrlog.dat
+ 2001-09-19 11:00 . 2010-01-02 21:41 443758 c:\windows\system32\perfh009.dat
- 2001-09-19 11:00 . 2009-12-31 19:11 443758 c:\windows\system32\perfh009.dat
+ 2004-08-03 20:56 . 2004-08-03 20:56 215552 c:\windows\system32\osk.exe
+ 2004-08-03 20:56 . 2004-08-03 20:56 142848 c:\windows\system32\mobsync.exe
+ 2010-01-01 11:58 . 2010-01-01 11:58 245760 c:\windows\system32\config\systemprofile\ntuser.dat
+ 2004-08-03 20:56 . 2004-08-03 20:56 388608 c:\windows\system32\cmd.exe
- 2009-03-27 02:03 . 2009-11-24 15:25 630127 c:\windows\PaltalkScene\uninstall.exe
+ 2009-03-27 02:03 . 2010-01-02 13:44 630127 c:\windows\PaltalkScene\uninstall.exe
+ 2009-12-31 23:38 . 2009-12-31 23:38 636928 c:\windows\Installer\97f169.msi
- 2009-12-16 17:43 . 2009-12-16 21:31 226159 c:\windows\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut211_FACC3AB83BAE43B48889C252A3BAA528.exe
+ 2009-12-16 17:43 . 2010-01-02 14:30 226159 c:\windows\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut211_FACC3AB83BAE43B48889C252A3BAA528.exe
+ 2009-12-16 17:43 . 2010-01-02 14:35 226159 c:\windows\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut2_8AD8B45EA8E342398C8023822EDFD6EF.exe
- 2009-12-16 17:43 . 2009-12-16 21:36 226159 c:\windows\Installer\{BEC99D86-1D70-4AB8-8D15-E116392F9B7D}\NewShortcut2_8AD8B45EA8E342398C8023822EDFD6EF.exe
+ 2009-03-27 11:12 . 2010-01-02 14:30 209775 c:\windows\Installer\{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}\ARPPRODUCTICONFLV1.exe
- 2009-03-27 11:12 . 2009-11-24 15:15 209775 c:\windows\Installer\{8BF2C401-02CE-424D-BC26-6C4F9FB446B6}\ARPPRODUCTICONFLV1.exe
+ 2009-10-22 09:49 . 2010-01-02 14:30 189295 c:\windows\Installer\{6975E810-C92F-45F0-0BFD-187B312F10E8}\_35A3816B64DB_4AB3_83FD_BC20E7C011E8.exe
- 2009-10-22 09:49 . 2009-11-24 15:15 189295 c:\windows\Installer\{6975E810-C92F-45F0-0BFD-187B312F10E8}\_35A3816B64DB_4AB3_83FD_BC20E7C011E8.exe
+ 2009-12-31 23:38 . 2010-01-02 14:30 213871 c:\windows\Installer\{6606E32D-288C-4FF6-9EC8-E7961954B028}\sheller.exe1_389CBC0CD8794E79A17D093EEC69E347.exe
+ 2009-12-31 23:38 . 2010-01-02 14:30 213871 c:\windows\Installer\{6606E32D-288C-4FF6-9EC8-E7961954B028}\sheller.exe_1B26E449AAFD4CBCB8A36B6AA5247327.exe
- 2009-03-27 11:12 . 2009-11-24 15:15 222063 c:\windows\Installer\{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}\EMARPPRODUCTICON.exe
+ 2009-03-27 11:12 . 2010-01-02 14:30 222063 c:\windows\Installer\{5546CDB5-2CE2-498B-B059-5B3BF81FC41F}\EMARPPRODUCTICON.exe
- 2009-03-27 11:13 . 2009-11-24 15:15 222063 c:\windows\Installer\{2BD5C305-1B27-4D41-B690-7A61172D2FEB}\ARPPRODUCTICONFL8.exe
+ 2009-03-27 11:13 . 2010-01-02 14:30 222063 c:\windows\Installer\{2BD5C305-1B27-4D41-B690-7A61172D2FEB}\ARPPRODUCTICONFL8.exe
+ 2004-08-03 20:56 . 2004-08-03 20:56 1029632 c:\windows\explorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="c:\program files\TGTSoft\StyleXP\StyleXP.exe" [2005-03-17 1159168]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2010-01-02 1824111]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-09-25 94208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-08-01 200704]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2010-01-02 1868655]
"GhostStartTrayApp"="c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2010-01-02 250735]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-01-02 185896]
"Nokia FastStart"="c:\program files\Nokia\Nokia Music\NokiaMusic.exe" [2009-02-26 2376992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 10:06 40048 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AESTFltr]
2008-07-11 09:15 466944 ----a-w- c:\windows\system32\AESTFltr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Broadcom Wireless Manager UI]
2008-11-26 08:39 2289664 ----a-w- c:\windows\system32\WLTRAY.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
2010-01-02 13:13 250735 ----a-w- c:\program files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-09-16 11:01 178712 ----a-w- c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-09-16 11:02 150040 ----a-w- c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2010-01-02 19:54 211359 ----a-w- c:\program files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2005-09-25 16:11 155648 ----a-w- c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-01-02 13:33 1362287 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-09-16 11:02 150040 ----a-w- c:\windows\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2010-01-02 19:54 213455 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-01-02 13:44 23036567 ----a-w- c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTrayApp]
2008-07-21 07:42 442460 ----a-w- c:\program files\IDT\WDM\sttray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2010-01-02 13:00 185896 ------w- c:\program files\Common Files\Real\Update_OB\realsched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9183:TCP"= 9183:TCP:tujps
R1 GhPciScan;GhostPciScanner;c:\program files\Symantec\Norton Ghost 2003\GhPciScan.sys [14/08/2002 03:11 م 5632]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [27/03/2009 04:52 ص 108160]
R3 OA009Afx;Provides a software interface to control audio effects of OA009 camera.;c:\windows\system32\drivers\OA009Afx.sys [27/03/2009 04:37 ص 148056]
R3 OA009Ufd;Creative Camera OA009 Upper Filter Driver;c:\windows\system32\drivers\OA009Ufd.sys [27/03/2009 04:37 ص 144544]
R3 OA009Vid;Creative Camera OA009 Function Driver;c:\windows\system32\drivers\OA009Vid.sys [27/03/2009 04:37 ص 268992]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [27/03/2009 04:36 ص 157696]
S2 afqhwlxj;Center Driver;c:\windows\system32\svchost.exe -k netsvcs [03/08/2004 11:56 م 14336]
S2 yksvc;Marvell Yukon Service;RUNDLL32.EXE ykx32coinst,serviceStartProc --> RUNDLL32.EXE ykx32coinst,serviceStartProc [?]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
afqhwlxj
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
IE: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: إرسال إلى &جهاز Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: إرسال إلى Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files:
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\afqhwlxj]
"ServiceDll"="c:\windows\system32\ohqqxb.dll"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(848)
c:\windows\system32\igfxdev.dll
.
Completion time: 2010-01-03 01:11:39
ComboFix-quarantined-files.txt 2010-01-02 22:11
ComboFix2.txt 2010-01-02 12:52
ComboFix3.txt 2009-12-31 19:27
Pre-Run: 53,077,360,640 bytes free
Post-Run: 53,177,548,800 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - ACFC87AD30489A6C31927D9340ADCC28

 

تقرير هايجاك جديد لا هنتي

تحملي كثر الطلبات :q:

 

اكيد بتتحمل لجل نوصل لنتيجه


.

 

والله من الفلاش مومري


اللي من جهاز لجهاز


.

 

تايقر تصدقين للحين مانمت

.

 

ايوه راح اتحمل اهم شي يتحقق مناي ويموووت الفايروس


عاشق انت اخر شي راح نفقد عضو اسمه عاشق راح يتحول لشهار هع هع

رح نام لا تنجن من السهر


هذا التقرير خيووو






Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:26:03 ص, on 03/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\idt\xpm09_6047v002\wdm\STacSV.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
C:\Documents and Settings\tazebama.dl_
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclBCBTSrv.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\user\سطح المكتب\Zyzoom.org_Tool_V_1.0.exe
C:\DOCUME~1\user\LOCALS~1\Temp\zyaoom Tool\Hijack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: مساعد رابط Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: إرسال إلى &جهاز Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: إرسال إلى Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\program files\idt\xpm09_6047v002\wdm\STacSV.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)

--
End of file - 6344 bytes

 

ان شاء الله احصلك بعنبر واحد ( أشهر عنبر بشهار ) انتى بدالي من هالفايروس

 

C:\Documents and Settings\tazebama.dl_


والله النشبه

 

تقترح افرمت الجهاز ...؟؟

ههههههههههههههههه الظاهر راح يصير كذا >>>> اذا ما حليت المشكله :cr:

 

بعد تعطيل استعاده النظام

ادخلي على الوضع الامن .................تشغيل الوضع الامن

واعملي التالي

اظهري الملفات المخفية ,,

من إدارة المهام Task manager و من التبويب عمليات Prossess

ابحثي عن عملية تسمى _tazebama.dl و قم بإنهائها

بعدها إذهب إلى المسار C:\Document And Settings

و ستجد 3 ملفات كالآتي ( _hook.dl_ ) ( tazebama.dl ) و tazemaba.dll

قم بحذفهم جميعا

بعدها شغلي الاداه التاليه

حملي الاداه من هنا



ضيفي هذه الكلمات بالأداه واعملي فحص ( مكان الكلمات الموجوده بالصوره ) ضعي الكلام التالي

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dl
[DRIVE]:\zPharaoh.exe
[DRIVE]:\autorun

كل الخطوات بالوضع الامن لا تنسي ​

 

ابحثي عن عملية تسمى _tazebama.dl و قم بإنهائها




ما حصلتها برغم اني اظهرت الملفات المخفيه




بعدها إذهب إلى المسار C:\Document And Settings

و ستجد 3 ملفات كالآتي ( _hook.dl_ ) ( tazebama.dl ) و tazemaba.dll



تم ازالتهم





ضيفي هذه الكلمات بالأداه واعملي فحص ( مكان الكلمات الموجوده بالصوره ) ضعي الكلام التالي

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dl
[DRIVE]:\zPharaoh.exe
[DRIVE]:\autorun



رفض شاهد الصوره

http://www.eupload.org/shared/12299صور21.zip



وانا مازلت بالوضع الأمن

:er:

 

ضيفي هذه الكلمات بالأداه واعملي فحص ( مكان الكلمات الموجوده بالصوره ) ضعي الكلام التالي ​

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dl
[DRIVE]:\zPharaoh.exe
[DRIVE]:\autorun​

احذفي اخر سطرين بالكود ​

يعني ضعي بس ​

%SystemDrive%\Documents and Settings\tazebama.dl_
%SystemDrive%\Documents and Settings\hook.dl_
%UserProfile%\Start Menu\Programs\Startup\zPharoh.exe
%SystemDrive%\Documents and Settings\tazebama.dl​

ولو ما اشتغلت ترجعي تشغليها بالوضع العادي ​

وانتي بالوضع الامن كمان ​

شغلي هالاداه من جديد تم اضافه كود جديد :d:​

عطل برامج الحماية عن العمل
ثم
حمل الاداة التالية واحفظها على سطح المكتب

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
لا تقم بتشغيل اي برنامج ،، ومهما طالت عملية الفحص انتظر حتى تنتهي
انتظر حتى يظهر لك تقرير ،،انسخه والصقه بمشاركتك القادمة​

 

تايقر لاتطبقي شي


يعنى خليك برا الموضوع من خلال ردي

لحد ما الاخ انس يرد عليك ويعطيك الاوامر


................

انس سويت بحث بقوقل عن هالفايروس بنفس الاسم فوجدت مايلي

..

Worm.win32.mabezat.b​

ولها مسميات اخرى مثل​

Worm.Win32.Mabezat.b >>Kspersky
W32/Mabezat >>McAfee
W32.Mabezat.B >>Symantec
Worm/Mabezat.B >>Avira
W32/Mabezat-B >>Sophos
Win32/Mabezat.B >>microsoft ​

معلومات ​

النوع فيروس يصيب الويندوز باختلاف انواعه و يعمل ببيئه 32 بت win32 اي انه لا يعمل على نظام الدوس ​

الانتشار
الاقراص القابله للازاله مثل الفلاشات و الاقراص المرنه ايضا المجلدات و الملفات المشتركه على الشبكه
ويقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe​

وفي نفس المجلد اللي يكون اسمه zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf​

طريقه عمله ​

بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه​

%drive%\Documents and Settings\​

ويكون تحت اسم ​

tazebama.dl_ ​

hook.dl_​

tazebama.dll​

ثم يقوم بصنع مجلد له في المسار ​

%appdata%\tazebama\​

ومن ثم يقوم بحذف هذه القيم من الريجستري​

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"​

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"​

ويقوم بإضافه قيم له في الريجستري تحت ​

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2​

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1​

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0​

وينتشر بسرعه كبيره جدا​

وتظهر لك هذه الرساله عند تشغيل بعض البرامج ​

​

باختصار شديد الفايروس واقسم بالله رفع ضغطي والحمدلله قدرت اتمكن منه بهذي الطريقه
وحبيت افيدكم ​

اولا​

قم بتعطيل استعادة النظام ​

ويندوز اكس بي ​

​

​

​

​

​

​

​

​

ثانيا​

حمل اداة دكتور ويب
رابط مباشر ومحدث من الشركه ​

انسخ الرابط وامسح الفراغ بين الحرفين ( e b ) ولصقه في المتصفح للتحميل من الموقع الرسمي

كود:

ftp://ftp.drwe b.com/pub/drwe b/cureit/launch.exe​

رابط اخر

​

​

​

​

​

​

​

​

عند العثور على فايروس ملف مشبوه راح تطلع لك مثل هالنافذة اضغط كالموضح​

​

بعد الآنتهاء من الفحص ​

اضغط على select all​

ثم اضغط على cure
واختر delete incurable​

انتظر لحظات بعدها اعد تشغيل الجهاز ​

ثالثا​

لإعادة مدخلات مسجل النظام للوضع الا فتراضي​

حمل هذا الملف ​

​

​

​

 

ضعي بدايه الكود

Files to delete:

:q:

 

وش الراي


.؟

 

k:

صحيح اخي بس الدكتور ويب ما يشتغل عند تايقر

ولو يشتغل ممكن يحل مشكله

بس نشوف نتيجه اخر فحص
وبعدها نحاول تشغيل الدكتور ويب ​

 

عطل برامج الحماية عن العمل
ثم
حمل الاداة التالية واحفظها على سطح المكتب

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
لا تقم بتشغيل اي برنامج ،، ومهما طالت عملية الفحص انتظر حتى تنتهي
انتظر حتى يظهر لك تقرير ،،انسخه والصقه بمشاركتك القادمة​

من عملت هذا اخر شي والجهاز صابته سكته قلبيه اصبحت الشاشة سوداء ورجع اختفى سطح المكتب

مايتحرك الا الماوس

 

اوكي


.


قرب يفصل




.​

 

عشوق تسلم على المجهود نخدمك بالأفراح انشاء الله :hh: