تقرير جهازي

[جنوبي الهوى]

اخواني هذا تقرير لجهازي (اللابتوب ) للهايجاك وللاداة combo
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:55:36 ?, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\azzam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PCCheckUp.exe
C:\Program Files\On Screen Display\Hotkey.exe
C:\Program Files\Startup Faster\sfagent.exe
J:\Super programs\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [StartupFaster] "C:\Program Files\Startup Faster\startuploader.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\azzam.exe" /minimized
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - S-1-5-21-299502267-1078145449-725345543-1004 Startup: StartupFaster (User '?')
O4 - Startup: StartupFaster
O4 - Global Startup: StartupFaster
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

--
End of file - 4096 bytes

وهذا تقرير الاداة combo
ComboFix 08-06-20.4 - Zeinab2810 06/23/2008 13:44:31.2 - NTFSx86 MINIMAL

Running from: C:\Documents and Settings\Zeinab2810\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((( Files Created from 2008-05-23 to 2008-06-23 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartupFaster"="C:\Program Files\Startup Faster\startuploader.exe" [06/03/2008 03:03 AM 1402080 C:\Program Files\Startup Faster\StartupLoader.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Driver32"="" []
"raVe"="" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [08/04/2004 04:30 PM 44544 C:\WINDOWS\system32\tscupgrd.exe]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]
antiwpa.dll 07/22/2006 11:49 PM 5376 C:\WINDOWS\system32\antiwpa.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Zeinab2810^Start Menu^Programs^Startup^RocketDock.lnk]
backup=C:\WINDOWS\pss\RocketDock.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a--c--- 12/07/2004 10:40 PM 344064 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\batterymiser]
--a--c--- 06/01/2006 07:24 PM 335872 C:\Program Files\Battery miser\batterymiser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IPO3]
--a--c--- 06/22/2005 01:30 PM 1028096 C:\Program Files\LG Software\IP Operator 2005\IP Operator 2005.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a--c--- 10/29/2004 05:31 AM 688218 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--a--c--- 10/29/2004 05:32 AM 98394 C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a--c--- 04/07/2008 04:19 PM 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tracks Eraser Pro]
--a--c--- 03/18/2008 08:43 PM 1363816 C:\Program Files\Acesoft\Tracks Eraser Pro\te.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 04/25/2007 08:14 PM 35328 C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9365baf2-0cbf-11dd-9eed-00e091057f92}]
\Shell\AutoRun\command - E:\iefqwp.cmd
\Shell\explore\Command - E:\iefqwp.cmd
\Shell\open\Command - E:\iefqwp.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7e1c55f-0af2-11dd-9ed7-00e091057f92}]
\Shell\AutoRun\command - E:\olb1iimw.bat
\Shell\explore\Command - E:\olb1iimw.bat
\Shell\open\Command - E:\olb1iimw.bat

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-06-23 13:46:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 06/23/2008 13:48:24
ComboFix-quarantined-files.txt 2008-06-23 09:18:11
ComboFix2.txt 2008-05-30 12:54:48

Pre-Run: 26,243,485,696 bytes free
Post-Run: 26,320,961,536 bytes free

94 --- E O F --- 2008-06-23 08:33:00

 

[المانسي]

حياك الله اخي العزيز​

قم بتحميل هذه الاداة هذه الاداة واتبع الشرح التالي​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبي فقط​

شرحالاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهرلك هذه الشاشه ,, انتظر ( وتابع مع الصور )​

​

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))​

​

ثم حمل حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,​

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور​

ثم نزل برنامج كاسبر وافحص جهازك كاملا ثم ارفع من جديد تقرير باداة هايجيك​

بالتوفيق​

 

[جنوبي الهوى]

اخي العزيز ..الكاسبر لا يمكن تنصيبه عندي للاسف :cr:
هذا تقرير الهايجاك بعد استخدام الاداتين
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:05:27, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\azzam.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\PCCheckUp.exe
C:\Program Files\On Screen Display\Hotkey.exe
C:\Program Files\Startup Faster\sfagent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
J:\Super programs\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [StartupFaster] "C:\Program Files\Startup Faster\startuploader.exe" -run SFAURUN SFCURUN SFAUSTARTUP SFCUSTARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\azzam.exe" /minimized
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - S-1-5-21-299502267-1078145449-725345543-1004 Startup: StartupFaster (User '?')
O4 - Startup: StartupFaster
O4 - Global Startup: StartupFaster
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9834850-497A-40BA-A797-D47F0845FD9F}: NameServer = 172.10.0.1 91.142.49.49
O17 - HKLM\System\CS1\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{06B045C6-4E0B-4738-A430-A3A1CE82F365}: NameServer = 192.192.192.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

--
End of file - 3527 bytes

 

[AbOdy]

اخوي تقريرك فيه اصابات

قم بعمل التالي


Totally Clean

اداة مبنيه على على اداة a-squared للفحص

تم التعديل عليها لتقوم بالتالي

• تحديث تلقائي​
• فحص شامل وانشاء تقرير تلقائي​
• فحص وحجر وانشاء تقرير + ارجاع مفاتيح مسجل النظام تلقائي​
• اعادة الملفات المحجور عليها تلقائيا"​
• الفحص ياستخدام خاصية الـ heuristic​
• فحص الملفات المضغووطه zip, rar, cab​

:d::d:



الزبده ياربـــعي

الاداة حساس مرره مرره

يعني تلقط الـ Malware وهو طاير
:hh:
يجب ان تشغل من الحساب الرئيسي
يجب ان يكون الجهاز متصل بالانترنت لتحميل التحديثات


شرح الاداة

متوافق مع فستا واكس بي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او

رابط من اخي فتى الشرقيه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

جزاك الله الجنه



بعد تشغيل الاداة تقوم الاداة بعمل اختصار لها على سطح المكتب باسم Totally Clean

ثم تظهر الواجهه

​

• الضغط على رقم (1) >> انتر >> لتحديث الاداة ان وجد ((ستعود القائمه الرئيسيه تلقائيا" عند الانتهاء من التحديث))​

الضغط على (3) >> انتر >> لعمل فحص وحجر الملفات المصابه وانشاء تقرير (( الشاشه الحمراء )) <<< ويفضل الفحص من الوضع الامن وسيطلب الجهاز اعادة تشغيل عند الانتهاء






وبعد عمل المطلوب قم بعمل تقرير هايجاك

 

[AbOdy]

اخوي ودي اسألك

هل انت داخل من حساب الأدمن ؟؟

 

[جنوبي الهوى]

اخوي ودي اسألك

هل انت داخل من حساب الأدمن ؟؟

كيف اعرف اني موجود بحساب الادمن:hh:؟

اللي اعرفو اني مش بالسيف مود حاليا :d:

 

[جنوبي الهوى]

كيف اعرف اني موجود بحساب الادمن:hh:؟

اللي اعرفو اني مش بالسيف مود حاليا :d:

يمكن الان فهمت قصدك: الادمن يعني administrator ..صح؟ اذا نعم
انشالله الليلة يكون التقرير معاك بعد الفحص بالاداة
وتسلملي يا غالي

 

[جنوبي الهوى]

اخي العزيز المانسي
نزلت الاداة وعملت تحديث لها وبعد ذلك ضغطت على الرقم ثلاثة ...وبدا الفحص
ولكن تاتي الشاشة الزرقاء وكررت العملية مرتين ونفس المشكلة ..جربت الطريقة بالوضع الامن
وبالوضع العادي...
ومكتوب في رسالة الشاشة الزرقاء memory management


لا ادري ما الحل ؟؟

 

[AbOdy]

هلا فيك اخوي

طبقت الشرح الي عطيتك ؟؟؟؟؟

 

[المانسي]

اخي العزيز المانسي
نزلت الاداة وعملت تحديث لها وبعد ذلك ضغطت على الرقم ثلاثة ...وبدا الفحص
ولكن تاتي الشاشة الزرقاء وكررت العملية مرتين ونفس المشكلة ..جربت الطريقة بالوضع الامن
وبالوضع العادي...
ومكتوب في رسالة الشاشة الزرقاء memory management


لا ادري ما الحل ؟؟

هلا فيك اخوي

طبقت الشرح الي عطيتك ؟؟؟؟؟

حياك الله اخي
متى اتت الشاشة الزرقاء واعمل كما قال لك فتى الشرقية

بالتوفيق

 

[جنوبي الهوى]

اخي نعم طبقت الشرح والشاشة الزرقاء اتت عندما ضغطت على الرقم ثلاثة (عند البحث) ..حاولت مرة ثانية
ولكن نفس الشيئ اتت الشاشة الزرقاء
ارجو ان تساعدني

 

[المانسي]

اخي نعم طبقت الشرح والشاشة الزرقاء اتت عندما ضغطت على الرقم ثلاثة (عند البحث) ..حاولت مرة ثانية
ولكن نفس الشيئ اتت الشاشة الزرقاء
ارجو ان تساعدني

بخصوص الشاشة الزرقاء شوف الموضوع التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي