الفايروس اصاب الجهاز الثاني

[ابو الحـسن]

السلام عليكم ورحمة الله وبركاته

الجهاز الثاني اصابه الفايروس اللى احذفه يرجع وطبقة الخطوات اللى بموضوعي الاول ومانفع

نوع كمبيوتري ايسر اذا بدخل على Regedit يقول تم تعطيل من قبل المسؤول واذا ضغطت ctrl+alt+delete ومنزل الكاسبر وماقدرله اهر اصدار

وهذا تقرير بالهايجك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:47:57 PM, on 6/19/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5335.0005)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ACER.com
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Aspire\My Documents\Zyzoom_HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: Shell=Explorer.exe ACER.com
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Update Scheduler] C:\PROGRA~1\CATCOM~1\QUICKH~1\UPSCHD.EXE /CHECK
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Aspire] C:\WINDOWS\RECYCLER\Aspire.com
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {73A24DCA-7867-485F-8D62-B708F85FFA4C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEEEA70-D624-4B07-9A9F-0A81CA253D30}: NameServer = 195.226.228.72 195.226.228.74
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: NOD32krn - Unknown owner - (no file)
O23 - Service: NT Online Protection - Unknown owner - C:\PROGRA~1\CATCOM~1\QUICKH~1\ONLNSVC.EXE (file missing)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
--
End of file - 6155 bytes
​

 

[KinXG BlacK]

جاااري التحليل ...​

 

[KinXG BlacK]

احذف التالي

O4 - HKLM\..\Run: [Aspire] C:\WINDOWS\RECYCLER\Aspire.com

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O23 - Service: NOD32krn - Unknown owner - (no file)

O23 - Service: NT Online Protection - Unknown owner - C:\PROGRA~1\CATCOM~1\QUICKH~1\ONLNSVC.EXE (file missing)



طريقة الحذف

نزل هالاداة لتنظيف الجهاز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أعد التشغيل
التقرير الثاني ​

 

[KinXG BlacK]

(1)


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes


انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم


​

(2)

حمل هذي الأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغلها ثم أعد التشغيل الجهاز

​

​

 

[ابو الحـسن]

اسف على التأخير هذا التقرير اللى طلبته

البرنامج الاول

ComboFix 08-06-12.2 - Aspire 2008-06-20 22:14:40.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.463 [GMT 3:00]
Running from: C:\DOCUME~1\Aspire\LOCALS~1\Temp\Rar$EX00.578\ComboFix.exe
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\RECYCLER\Aspire.com
D:\autorun.inf
D:\RECYCLER\Aspire.com
E:\autorun.inf
E:\RECYCLER\Aspire.com
.
((((((((((((((((((((((((( Files Created from 2008-05-20 to 2008-06-20 )))))))))))))))))))))))))))))))
.
2008-06-19 16:45 . 2008-06-19 16:45 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\zyz Kaspersky Lab setup files
2008-06-19 16:42 . 2007-11-12 00:50 1,357,312 --a------ C:\WINDOWS\SystemManagerV1.exe
2008-06-17 19:30 . 2008-06-17 19:30 1,972 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-17 19:11 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-17 19:11 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-17 19:11 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-17 19:11 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-17 19:11 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-17 18:27 . 2008-06-17 18:27 <DIR> d-------- C:\Program Files\Common Files\delet
2008-06-17 17:04 . 2008-06-17 17:04 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-06-16 22:28 . 2008-06-16 22:28 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-16 20:37 . 2008-06-16 20:37 <DIR> d-------- C:\z0120
2008-06-13 23:29 . 2006-12-25 04:29 9,488 -ra------ C:\WINDOWS\kill.exe
2008-06-13 23:03 . 2008-06-17 16:08 0 --a------ C:\WINDOWS\system32\WinWare.sys
2008-06-13 20:51 . 2008-06-13 20:51 <DIR> d-------- C:\Programme
2008-06-13 20:51 . 2008-06-13 20:51 <DIR> d-------- C:\Program Files\Alwil Software
2008-06-13 20:51 . 2008-06-13 20:51 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-06-13 20:44 . 2008-06-17 19:33 99 --a------ C:\Backup_Autorun.Bak
2008-06-13 20:44 . 2008-06-20 22:22 99 -rahs---- C:\autorun.inf
2008-06-13 20:44 . 2008-06-17 18:29 99 --a------ C:\autorun.bak
2008-06-13 19:46 . 2008-02-25 21:51 61,952 -rahs---- C:\WINDOWS\system32\ACER.com
2008-06-07 16:51 . 2008-06-07 16:51 <DIR> d-------- C:\WINDOWS\bronz
2008-06-07 16:51 . 2008-06-07 16:51 <DIR> d-------- C:\Program Files\BrOnZ Patch Pro
2008-06-07 15:57 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 19:19 5,780 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-20 19:19 351,264 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-20 19:19 2,492 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-20 19:19 15,136 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-19 15:14 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-06-19 15:14 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-30 23:38 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-07 19:51 --------- d-----w C:\Program Files\IE7Pro
2008-05-07 19:51 --------- d-----w C:\Documents and Settings\Aspire\Application Data\IE7Pro
2008-04-25 15:22 206,088 ----a-w C:\WINDOWS\system32\klogon.dll
2008-04-25 15:21 26,964 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-03-27 08:12 151,583 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-27 08:12 151,583 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2007-04-08 18:56 162 ----a-w C:\Program Files\setuplog.txt
2008-02-25 18:51 61,952 --sha-r C:\WINDOWS\system32\ACER.com
2007-05-24 04:33 56 --sh--r C:\WINDOWS\system32\6CB462ECE1.sys
2007-10-24 11:36 11,690 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-24 11:35 88 --sh--r C:\WINDOWS\system32\E1EC62B46C.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper s\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
2008-04-25 18:22 62728 --a------ C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 21:56 15360]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2006-05-02 15:51 3334144]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update Scheduler"="C:\PROGRA~1\CATCOM~1\QUICKH~1\UPSCHD.exe" [ ]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-11-16 20:07 185896]
"SystemInit"="" []
"Karen"="" []
"raVe"="" []
"Win32BaseServiceMOD"="" []
"startIE"="" []
"Aspire"="C:\WINDOWS\RECYCLER\Aspire.com" [ ]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"raVe"="" []
"Driver32"="" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 21:56 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
"DisableTaskmgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoFolderOptions"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoFolderOptions"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)
"NoFind"= 0 (0x0)
"NoRun"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe ACER.com"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDAgent]
C:\Program Files\Softwin\BitDefender10\bdagent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-03 21:56 110592 C:\WINDOWS\system32\bthprops.cpl
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-03 21:56 15360 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Email Protection]
C:\PROGRA~1\CATCOM~1\QUICKH~1\emlproxy.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Messenger]
C:\PROGRA~1\CATCOM~1\QUICKH~1\SCANMSG.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:54 5674352 C:\Program Files\MSN Messenger\MsnMsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\On-Line Protection]
C:\PROGRA~1\CATCOM~1\QUICKH~1\CATEYE.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-06-20 16:42 77824 C:\WINDOWS\SOUNDMAN.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Startup Scan]
C:\PROGRA~1\CATCOM~1\QUICKH~1\sensor.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-16 20:07 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TurboConnect]
C:\PROGRA~1\TURBOC~1\TurboConnect.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Scheduler]
C:\PROGRA~1\CATCOM~1\QUICKH~1\UPSCHD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2006-05-02 15:51 3334144 C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ScanWscS"=2 (0x2)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R0 ScreenNT;ScreenNT;C:\WINDOWS\system32\drivers\ScreenNT.sys [2007-10-02 15:00]
R2 EMLSS;EMLSS;C:\WINDOWS\system32\drivers\emltdi.sys [2007-10-02 15:00]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S2 OnlineNT;OnlineNT;C:\PROGRA~1\CATCOM~1\QUICKH~1\ONLINENT.SYS []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c58424ca-d5b3-11dc-9811-000d87660019}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c58424cb-d5b3-11dc-9811-000d87660019}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Aspire.com
\Shell\open\command - H:\Aspire.com
\Shell\read\command - H:\Aspire.com

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}]
"C:\Program Files\Internet Explorer\iexplore.exe" -userconfig
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-06-20 22:21:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM32\PSISERVICE.EXE
C:\WINDOWS\SYSTEM32\ACER.COM
C:\PROGRAM FILES\YAHOO!\MESSENGER\YMSGR_TRAY.EXE
C:\Documents and Settings\Aspire\Desktop\General_Removal\General_Removal.exe
C:\WINDOWS\SYSTEM32\ACER.COM
C:\WINDOWS\SYSTEM32\IMAPI.EXE
.
**************************************************************************
.
Completion time: 2008-06-20 22:24:17 - machine was rebooted
ComboFix2.txt 2008-06-17 13:04:16
ComboFix-quarantined-files.txt 2008-06-20 19:23:58
Pre-Run: 3,424,731,136 bytes free
Post-Run: 3,452,633,088 bytes free
221 --- E O F --- 2008-05-30 23:39:54
​

برنامج الهايجك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:40 PM, on 6/20/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5335.0005)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ACER.com
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ACER.com
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Aspire\My Documents\Zyzoom_HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: Shell=Explorer.exe ACER.com
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Update Scheduler] C:\PROGRA~1\CATCOM~1\QUICKH~1\UPSCHD.EXE /CHECK
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Aspire] C:\WINDOWS\RECYCLER\Aspire.com
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {73A24DCA-7867-485F-8D62-B708F85FFA4C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAEEEA70-D624-4B07-9A9F-0A81CA253D30}: NameServer = 195.226.228.72 195.226.228.74
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: NOD32krn - Unknown owner - (no file)
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
--
End of file - 6021 bytes

وسلامتك انتظرك​

 

[KinXG BlacK]

أعد حذف​

O4 - HKLM\..\Run: [Aspire] C:\WINDOWS\RECYCLER\Aspire.com​

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1​

O23 - Service: NOD32krn - Unknown owner - (no file)​

>>>​

بعد عمل الخطوات إللي فوق اعمل التالي
عطل استعادة النظام ​

جهاز الكمبيوتر
كليك يمين
خصائص
استعادة النظام ​

ضع علامة صح أمام ايقاف ااستعادة النظام ..إلخ ​

تطبق ..انتظر قليلاً .. ثم موافق ..​

ثم
هالاداة لتنظيف الجهاز
ATF-Cleaner
موجودة لديك ..:king:

​

---------------------------​

حمل هذا الملف
من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

شغل جميع الملفات فيه وإذا طلب اضافة شئ للمحرر التسجيل ​

اختر ..نعم
أعد التشغيل ​

وبعد اعادة التشغيل اعد تشغيل استعادة التظام ​

 

[ابو الحـسن]

جاري التجربه

 

[ابو الحـسن]

مانفع اخي للاسف جربت كل اللى قلت عنه

 

[العرافة]

اخي حمل برنامج ازالة آثار الفيروسات


هذا اللينك :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ان شا الله تنحل مشاكلك

 

[فارس الملاك]

اخي حمل برنامج ازالة آثار الفيروسات


هذا اللينك :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ان شا الله تنحل مشاكلك

k:k:k:

بالاضافة على كلام الاخت العرافة

الي تشوف اللون بالاحمر اشر عليهم واضغط Fix

تحياتي​

 

[ابو الحـسن]

هو ياخوان مو اثار فيروسات هو فايروس ينحذف ويرجع

 

[العرافة]

اخي البرنامج يزيل الفيروسات و آثارها

يعني تعطيل الرجستري و جي

و الرجوع بعد الجذف هذا شغل فيروسات autorun و اخواتها

جرب الاداة و خبرنا شو صار وياك

 

[ابو الحـسن]

اخي البرنامج يزيل الفيروسات و آثارها

يعني تعطيل الرجستري و جي

و الرجوع بعد الجذف هذا شغل فيروسات autorun و اخواتها

جرب الاداة و خبرنا شو صار وياك

ان شاء الله وجاري التجربه الحين يجي زيزوم يعطيني اداة ويطر ابو الفايروس :q:

 

[العرافة]

جاري انتظار النتيجة اخي ,, بس لو تكرمت اخي ممكن تعطيني اسم الفايروس انا مفترضة انه autorun
بس ما ادري شسمه عالعموم هذي أداة ثانية ناجحة جربها اذا ما نفعت الاولى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[ابو الحـسن]

جاري انتظار النتيجة اخي ,, بس لو تكرمت اخي ممكن تعطيني اسم الفايروس انا مفترضة انه autorun
بس ما ادري شسمه عالعموم هذي أداة ثانية ناجحة جربها اذا ما نفعت الاولى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شكرا اختي وهذا اسمه autorun وملف اسمه RECYCLER كل ما احذفه يرجع

 

[العرافة]

اخوي ما نفعت الادوات؟ اذا لا جرب هالطريقة انا توني عاطتنها لأخت تعاني من نفس المصيبة

بس بعد ما تجربها غير برنامج الانتي فايروس مالك للكاسبر او افيرا او avg او اي برنامج زين

و خلال هالفترة انصحك تبتعد عن nod32 و اي برامج ما تتحرك

اسم الاداة :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الشرح
تابعي الصور اختي

بعدين طلعي الفلاش و دخليها و ان شا الله يستوي

اذا ما استوى دوري فالفلاش عن ملفات اسمها

isass.exe < copy.exe

و احذفيهم

و حملي اداة الاخ او اي اداة للتخلص من آثار القيروسات

ان شا الله فدتج و اذا فدتج قيميني

بشرني اخي و خبرني اي انتي فايروس تستخدم حاليا

 

[Mr.Virus]

اضافه الى كلام الاخوه

نزل هالاداه وشغلها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وردلي خبر ضبط او لا...؟

 

[العرافة]

اخي اذا جربت جميع الحلول و ما نفع عندك هذا مووضو ع الاخ عاشق عيونها :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[KinXG BlacK]

الفايروس منتشرفي جهازك
C:\autorun.inf
C:\RECYCLER\Aspire.com
D:\autorun.inf
D:\RECYCLER\Aspire.com
E:\autorun.inf
E:\RECYCLER\Aspire.com

طيب أدارة المهام شغاله عندكـ ؟؟؟ لأن...​

 

[KinXG BlacK]

اضافه الى كلام الاخوه

نزل هالاداه وشغلها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وردلي خبر ضبط او لا...؟

​

k:

هذي الأداة ممتازة في اصلاح ما إتلفه الفايروس ...

ضع علامة على جميع
ثم اضغط
Apply​