مشكلة غريبة جداً وموش لاقيلها حل

[newcd]

جهازى كان شغال كويس جدا وفجأه اصبحت علاقته بالنت سيئه للغاية كل ما أدخل على موقع الكاسبر يفضل يدينى فى رسايل من النوع ده

وسواء ضغط دانى او ألاو بيبعتلى فيروس تورجن ويقولى ديليت وبعدين بيقوم راميلى فايلين على السى
هما دول ....

)
(

)

وبعديهم علطول بيدينى الرسالتين دول :

ولو فتحت الياهو بيدينى الرساله دية :

)

أنا تعبت خالص مع الجهاز عملتله اكتر من 4 مرات فورمت وتقسيم للهارد
ومفيش فايده اول حاجه بعملها بعد تستيب النسخه هو الكاسبر والابديت و اعمل سكان بيكون كويس
بس بمجرد مفتح صفحة النت الكاسبر بيقولى دانى والاو للانترنت اكسبلورير
والياهو برضو نفس الرساله وبعديهم علطول بتحصل كل المشاكل ديه

أتمنى اجد حل جزاكم الله خيراً

 

[فتى الاحزان]

( 1 )


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes


انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم


--------------------------------------------



( 2 )



واعمل تقرير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القا​

 

[newcd]

أخى الكريم أنا عملت اللى قلتلى عليه بالظبط ده التقرير الأول :​

ComboFix 08-06-08.8 - أحمد منى حسن أشرف 06/09/2008 19:52:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.207 [GMT 3:00]
Running from: C:\Documents and Settings\أحمد منى حسن أشرف\Desktop\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\ڑ¥ê§ êëî ¥«ë ڑ¬©ه\Local Settings\Temporary Internet Files\.IE5\L2JY9G46\cnsminex_empty[1].htm
.
((((((((((((((((((((((((( Files Created from 2008-05-09 to 2008-06-09 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 16:53 917,536 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-09 16:53 62,496 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-09 16:51 --------- d-----w C:\Documents and Settings\أحمد منى حسن أشرف\Application Data\DMCache
2008-06-09 16:42 --------- d-----w C:\Documents and Settings\أحمد منى حسن أشرف\Application Data\IDM
2008-06-09 16:29 --------- d-----w C:\Program Files\Winamp
2008-06-09 16:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-06-09 16:20 3,560 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-09 16:20 11,288 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-09 16:19 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-06-09 16:16 --------- d-----w C:\Program Files\Internet Download Manager
2008-06-09 14:15 --------- d-----w C:\Documents and Settings\أحمد منى حسن أشرف\Application Data\Yahoo!
2008-06-09 14:14 7,896 ----a-w C:\MicroSoft.pif
2008-06-09 14:14 30 ----a-w C:\MicroSoft.bat
2008-06-09 14:14 186 ----a-w C:\MicroSoft.vbs
2008-06-09 13:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-06-09 11:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-06-09 11:29 --------- d-----w C:\Program Files\Yahoo!
2008-06-09 11:04 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-06-09 11:04 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-06-09 11:04 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-06-09 10:54 --------- d-----w C:\Program Files\Kaspersky Lab
2008-06-09 10:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-06-09 10:43 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-09 10:43 --------- d-----w C:\Program Files\Realtek
2008-06-09 10:42 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-06-09 10:42 --------- d-----w C:\Documents and Settings\أحمد منى حسن أشرف\Application Data\InstallShield
2008-06-09 10:40 --------- d-----w C:\Program Files\Intel
2008-06-09 10:31 --------- d-----w C:\Program Files\microsoft frontpage
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 04:07 AM 15360]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [08/30/2007 05:43 PM 4670704]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [01/08/2008 02:44 PM 2577840]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [11/28/2005 08:55 AM 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [11/28/2005 08:52 AM 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [11/28/2005 08:55 AM 118784]
"RTHDCPL"="RTHDCPL.EXE" [11/14/2006 12:21 PM 16270848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [05/16/2006 01:04 PM 2879488 C:\WINDOWS\SkyTel.exe]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [12/13/2003 03:50 AM 33792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/04/2004 04:07 AM 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\English\\setup.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [12/13/2007 01:28 PM]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-06-09 19:53:32
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 06/09/2008 19:54:48
ComboFix-quarantined-files.txt 2008-06-09 16:54:46
Pre-Run: 12,380,323,840 bytes free
Post-Run: 12,416,020,480 bytes free
97 --- E O F --- 2008-06-09 16:18:53
ــــــــــــــــــــــــــــــــــــــــــــــــــــــ​

ده التقرير الثانى :
​

Logfile of HijackThis v1.99.1
Scan saved at 07:58:34 م, on 09/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\أحمد منى حسن أشرف\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R3 - URLSearchHook: Yahoo! ¤u¨م¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O3 - Toolbar: Yahoo! ¤u¨م¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB8EED0-B22B-41F3-8325-1CBA141BF131}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\..\{4AB8EED0-B22B-41F3-8325-1CBA141BF131}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{4AB8EED0-B22B-41F3-8325-1CBA141BF131}: NameServer = 208.67.222.222,208.67.220.220
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

ـــــــــــــــــــــــــــــــــ

هو أيه اللى حصل كده بقة ؟؟؟؟​

 

[newcd]

رجاءً الرد سريعاً بارك الله فيكم

 

[فتى الاحزان]

عذرا على التأخير تقريرك سليم

حمل هذه الاداه واعمل بها فحص للجهاز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[newcd]

لا أستطيع ان اقول لك شىء غير جزاك الله كل الخير وحفظك واسكنك الجنة

 

[فتى الاحزان]

لا أستطيع ان اقول لك شىء غير جزاك الله كل الخير وحفظك واسكنك الجنة

جزاك الله بالمثل

وغفر الله لك ولوالديك

اخي الكريم

هل انتهت المشكله ؟

 

[newcd]

للاسف يا اخى لاء

الرساله ديه بتظهرلى بعد ظهور رساله الكاسبر بانه مسك فيروس تورجان وعايز المسح

وبعدين فى حاجه جديده الدون لود مانجر بيبعتلى ملف عاوز يتحمل طبعا بلغى تحميله

بس الاداه اللى حملتها وعملت بيها سكان بتيجى عند ملف وتقف ده تقريرها

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/06/02 20:05:48
Norman Scanner Engine Version: 5.92.08
Nvcbin.def Version: 5.92.00, Date: 2008/06/02 20:05:48, Variants: 1705334
Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: AHMED-EE737DEB9\أحمد منى حسن أشرف

Scan started: 09/06/2008 22:14:52

Scanning running processes and process memory...
Number of processes/threads found: 1293
Number of processes/threads scanned: 1293
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 48s

Scanning file system...
Scanning: C:\*.*
C:\System Volume Information\_RESTO~1\RP9\A0000297.exe (Infected with W32/Smalldoor.AUCI)

 

[newcd]

واضح انى مضطر اذهب بالجهاز الى اى مركز صيانه
الله المستعان