مشكله ارجوكم ساعدونى بسرعه مش قادر افتح النت

  • بادئ الموضوع بادئ الموضوع hatemgoda
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,976
hatemgoda

hatemgoda

زيزوومى مبدع
إنضم
11 يناير 2008
المشاركات
897
مستوى التفاعل
755
النقاط
620
غير متصل
الرساله دى بتظهرلى كل لما احاول افتح اى موقع نت
بمجرد ما اكتب اسم اى موقع و اضغط enter
حتى ياهو حتى جوجل حتى موقعكم العزيز هذا

virus.jpg





فرمت ال
c partition
و ستبت ويندوز جديد وعرفت الكروت و نزلت الكاسبر و عملتله update و منزلتش اى برنامج تانى و مع ذلك تظهر الرساله مره اخرى كل لما احاول افتح اى موقع نت
بمجرد ما اكتب اسم اى موقع و اضغط enter
حتى ياهو حتى جوجل حتى موقعكم العزيز هذا
ارجوكم ساعدونى انا مش قادر افتح النت بارك الله فيكم و اسكنكم فسيح جناته

و هذ تقرير الهايجاك لجهازى


كود: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:43.MD, on 2008-08-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ping.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
G:\down\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [URL]http://go.microsoft.com/fwlink/?LinkId=74005[/URL]
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4028 bytes
 

توقيع : hatemgoda
ترتيب حسب التاريخ ترتيب حسب الأصوات
اهلا بك بمنتديات زيزوووم للامن والحماية
تم نقل موضوعك للقسم الانسب حتى يأخذ حقه من الاطلاع
بارك الله فيك
 
توقيع : AbOdy
تأييد 0
جزاك الله خيرا و بارك فيك
 
توقيع : hatemgoda
تأييد 0
اخوي هذه الرساله جدآ عادية

كل ما عليك فعله تضغط على Allow

تطلع لك 4 او 5 مرات وعند الضغط على Allow تختفي الرساله


وبالنسبة للتقرير جهازك سليم ولا فيه اي مشكلة


لو تحب تنزل اداة التنظيف

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png


موفق
 
توقيع : AbOdy
تأييد 0
شكرا اخى العزيز لاهتمامك بس الرساله فى الصوره اعلى بتقول

the web page is used for stealing cridet card numbers,PIN codes,passwords and other personal data

يعنى بتسرق باسوردات يا اخى ممكن تفهمنى ازاى عاديه مع ان الكاسبر بيطلع رساله حمراء و بيقول انها بتسرق فيزا و باسوردات
 
توقيع : hatemgoda
تأييد 0
اخي الكريم هذا الرساله طلعت لك من بعد تركيب ملف الأعدادات صح ؟؟
 
توقيع : AbOdy
تأييد 0
و كمان يا اخى انا بقالى فتره كبيره بستب نفس نسخه الويندوز و نفس نسخه الكاسبر و نفس نسخ البرامج منزلتش شىء جديد
ليه دلوقتى بالذات بتظهر و مكنتش بتظهر قبل كده
 
توقيع : hatemgoda
تأييد 0
توقيع : AbOdy
تأييد 0
انا رجعت ملف الاعدادات للاافتراضى مظهرش اى حاجه بس ملف الاعدادات اللى انا بحمله باستخدمه بقالى شهور و عمر مظهرت الرساله دى
 
توقيع : hatemgoda
تأييد 0
اخي الكريم

هذا بسبب ملف الأعدادات لحكم خبرتي


وانا قلت لك رح تجيك الرساله عند تشغيل الماسنجر او فتح صفحة انترنت او تشغيل برنامج مثل ريل بلير او غيره

وكل ما عليك فعله اضغط على Allow يعني سماح

ورح تجيك كم مرة ورح تكتشف بنفسك ان الرساله راحت
 
توقيع : AbOdy
تأييد 0
اختفت الرساله عند الرجوع لملف الاعدادات الافتراضى
لكن انا استخدم ملف الاعدادات هذا من شهور و لم تظهر هذه الرساله الا الان
و دى رساله ايه دى حاجه طبيعيه خاصه بالنظام
 
توقيع : hatemgoda
تأييد 0
AbOdy قال:
اخي الكريم

هذا بسبب ملف الأعدادات لحكم خبرتي


وانا قلت لك رح تجيك الرساله عند تشغيل الماسنجر او فتح صفحة انترنت او تشغيل برنامج مثل ريل بلير او غيره

وكل ما عليك فعله اضغط على Allow يعني سماح

ورح تجيك كم مرة ورح تكتشف بنفسك ان الرساله راحت
أنقر للتوسيع...
.
 
توقيع : AbOdy
تأييد 0
جزاك الله خيرا لمساعدتى و بارك الله فيك و جعله فى ميزان حسناتك و اسكنك فسيح جناته و غفر لك
اللهم امين
 
توقيع : hatemgoda
تأييد 0
اللهم اغفر لزيزووم ووالديه و اسكنهم فسيح جناتك
لانشائه هذا المنتدى الرائع لخدمه االمسلمين و العرب
 
توقيع : hatemgoda
تأييد 0
اخي الكريم
أن كان لديك تعامل ببطاقات الأئتمان او حسابات بريد إلكتروني (Hotmail,yahoo,...) أو أي تعاملات تجارة إلكترونية
فلا تتجاهل الرسالة التي تظهر لك .
ف (Phishing) هو عبارة عن نوع من الفيروس يقوم بسرقة حسابات المستخدمين وكلمات المرور لصفحات البنوك و بطاقات الأئتمان و الحسابات البريدية وأرسالها إلى جهة معينة
إن كنت بحاجة لمعلومات أكثر ,راجع هذا الرابط:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و نصيحتي لك قم بتغير برنامج مكافح الفيروس للتأكد من سلامة جهازك والتأكد من عدم وجود ملفات تجاهلها برنامجك الحالي
 
تأييد 0
انا فعلا عندى اميلاتى خايف على الباسودات بتاعتها
بس انا مش عارف انا عندى فعلا مشكله ولا مفيش مشكله من الاصل
الاخ AbOdy بيقول انى معنديش مشكله و دى مجرد رساله عاديه و الكاسبر بيقول ان دى صفحه بتحاول تتفتح و بتسرق الباسوردات و الفيزا
بس لو فعلا فيه مشكله ودى انا مش هسكت و لازم ادور على حل
 
توقيع : hatemgoda
تأييد 0
يعطيكم العافيه جميعاا



اخوي / hatemgoda

شكل عندك احد الفيروسات الصينية الجديده

( 1 )

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes​

انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

--------------------------------------------


( 2 )


واعمل تقرير للهايجاك​
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم
 
تأييد 0
اخى العزيز زيزووم​
تقرير ال combo fix

ملف ال log

كود: 
ComboFix 08-08-06.02 - Hatem 08/07/2008 14:13:47.1 - [COLOR=red][B]FAT32[/B][/COLOR]x86
Microsoft Windows XP Professional  5.1.2600.2.1256.1.1033.18.729 [GMT 3:00]
Running from: C:\Documents and Settings\Hatem\Desktop\ComboFix.exe
 * Created a new restore point
[COLOR=red][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]
.
(((((((((((((((((((((((((   Files Created from 2008-07-07 to 2008-08-07  )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-06 19:24 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-06 10:41 --------- d-----w C:\Program Files\Text Copy Helper
2008-08-06 10:41 --------- d-----w C:\Documents and Settings\Hatem\Application Data\Pretty-Soft
2008-08-06 09:41 720,896 ----a-w C:\WINDOWS\iun6002.exe
2008-08-06 09:41 --------- d-----w C:\Program Files\Java
2008-08-06 09:41 --------- d-----w C:\Program Files\Common Files\Java
2008-08-06 09:39 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-06 09:39 --------- d-----w C:\Program Files\GRETECH
2008-08-06 09:38 --------- d-----w C:\Program Files\CCleaner
2008-08-06 09:30 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-08-06 09:30 172,032 ------w C:\WINDOWS\Setup1.exe
2008-08-06 09:30 --------- d-----w C:\Program Files\Golden Al-Wafi Translator
2008-08-06 09:28 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-06 09:28 --------- d-----w C:\Program Files\AntiARP Stand-alone Edition
2008-08-06 09:28 --------- d-----w C:\Documents and Settings\Hatem\Application Data\IDM
2008-08-06 09:28 --------- d-----w C:\Documents and Settings\Hatem\Application Data\DMCache
2008-08-06 08:43 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-08-06 08:43 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-08-06 08:25 --------- d-----w C:\Program Files\Kaspersky Lab
2008-08-06 08:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-06 08:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-06 08:18 --------- d-----w C:\Program Files\Realtek
2008-08-06 08:18 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-08-06 08:18 --------- d-----w C:\Documents and Settings\Hatem\Application Data\InstallShield
2008-08-06 08:17 4,716 ----a-w C:\WINDOWS\gdrv.sys
2008-08-06 08:16 --------- d-----w C:\Program Files\Intel
2008-08-06 08:10 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-06 08:05 --------- d-----w C:\Program Files\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:56 PM 15360]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [10/01/2007 09:45 PM 840704]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [09/20/2007 04:35 AM 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [08/03/2004 09:32 PM 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [08/03/2004 09:32 PM 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [12/05/2007 01:41 AM 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [12/05/2007 01:41 AM 81920]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM 132496]
"AntiARPStandalone"="C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe" [08/15/2007 03:27 PM 5044736]
"RTHDCPL"="RTHDCPL.EXE" [11/14/2006 12:21 PM 16270848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [05/16/2006 01:04 PM 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [12/05/2007 01:41 AM 1626112 C:\WINDOWS\system32\nwiz.exe]
"Resume copy"="copyfstq.exe" [03/24/2002 01:54 PM 46080 C:\WINDOWS\COPYFSTQ.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:56 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R2 AntiArpNdisProt;AntiARP NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\AntiArpNdisProt.sys [04/18/2007 07:16 PM]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [04/04/2007 02:58 PM]
R3 xAntiArp;xAntiArpSpoof Service;C:\WINDOWS\system32\DRIVERS\xAntiArp.sys [08/11/2007 11:06 PM]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 -: Download FLV video  with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 -: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
 
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [URL]http://www.gmer.net[/URL]
Rootkit scan 2008-08-07 14:17:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ... 
scanning hidden autostart entries ...
scanning hidden files ... 
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 7.0\AVP.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
.
**************************************************************************
.
Completion time: 08/07/2008 14:18:31 - machine was rebooted
ComboFix-quarantined-files.txt  2008-08-07 11:18:26
Pre-Run: 4,326,514,688 bytes free
Post-Run: 4,296,163,328 bytes free
114


و هناك ملف اخر
ComboFix.txt
فى المسار
C:\combofix.txt
هو نفسه الملف السابق
وضعته من باب الحرص فقط

كود: 
ComboFix 08-08-06.02 - Hatem 08/07/2008 14:13:47.1 - [COLOR=red][B]FAT32[/B][/COLOR]x86
Microsoft Windows XP Professional  5.1.2600.2.1256.1.1033.18.729 [GMT 3:00]
Running from: C:\Documents and Settings\Hatem\Desktop\ComboFix.exe
 * Created a new restore point
[COLOR=red][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]
.
(((((((((((((((((((((((((   Files Created from 2008-07-07 to 2008-08-07  )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-07 11:15 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-06 19:24 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-08-06 10:41 --------- d-----w C:\Program Files\Text Copy Helper
2008-08-06 10:41 --------- d-----w C:\Documents and Settings\Hatem\Application Data\Pretty-Soft
2008-08-06 09:41 720,896 ----a-w C:\WINDOWS\iun6002.exe
2008-08-06 09:41 --------- d-----w C:\Program Files\Java
2008-08-06 09:41 --------- d-----w C:\Program Files\Common Files\Java
2008-08-06 09:39 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-08-06 09:39 --------- d-----w C:\Program Files\GRETECH
2008-08-06 09:38 --------- d-----w C:\Program Files\CCleaner
2008-08-06 09:30 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-08-06 09:30 172,032 ------w C:\WINDOWS\Setup1.exe
2008-08-06 09:30 --------- d-----w C:\Program Files\Golden Al-Wafi Translator
2008-08-06 09:28 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-06 09:28 --------- d-----w C:\Program Files\AntiARP Stand-alone Edition
2008-08-06 09:28 --------- d-----w C:\Documents and Settings\Hatem\Application Data\IDM
2008-08-06 09:28 --------- d-----w C:\Documents and Settings\Hatem\Application Data\DMCache
2008-08-06 08:43 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-08-06 08:43 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-08-06 08:25 --------- d-----w C:\Program Files\Kaspersky Lab
2008-08-06 08:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-06 08:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-06 08:18 --------- d-----w C:\Program Files\Realtek
2008-08-06 08:18 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-08-06 08:18 --------- d-----w C:\Documents and Settings\Hatem\Application Data\InstallShield
2008-08-06 08:17 4,716 ----a-w C:\WINDOWS\gdrv.sys
2008-08-06 08:16 --------- d-----w C:\Program Files\Intel
2008-08-06 08:10 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-06 08:05 --------- d-----w C:\Program Files\Windows Media Connect 2
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:56 PM 15360]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [10/01/2007 09:45 PM 840704]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [09/20/2007 04:35 AM 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [08/03/2004 09:32 PM 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [08/03/2004 09:32 PM 455168]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [12/05/2007 01:41 AM 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [12/05/2007 01:41 AM 81920]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [09/25/2007 01:11 AM 132496]
"AntiARPStandalone"="C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe" [08/15/2007 03:27 PM 5044736]
"RTHDCPL"="RTHDCPL.EXE" [11/14/2006 12:21 PM 16270848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [05/16/2006 01:04 PM 2879488 C:\WINDOWS\SkyTel.exe]
"nwiz"="nwiz.exe" [12/05/2007 01:41 AM 1626112 C:\WINDOWS\system32\nwiz.exe]
"Resume copy"="copyfstq.exe" [03/24/2002 01:54 PM 46080 C:\WINDOWS\COPYFSTQ.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:56 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R2 AntiArpNdisProt;AntiARP NDIS Protocol Driver;C:\WINDOWS\system32\DRIVERS\AntiArpNdisProt.sys [04/18/2007 07:16 PM]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [04/04/2007 02:58 PM]
R3 xAntiArp;xAntiArpSpoof Service;C:\WINDOWS\system32\DRIVERS\xAntiArp.sys [08/11/2007 11:06 PM]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 -: Download FLV video  with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 -: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
 
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [URL]http://www.gmer.net[/URL]
Rootkit scan 2008-08-07 14:17:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ... 
scanning hidden autostart entries ...
scanning hidden files ... 
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 7.0\AVP.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\SYSTEM32\WSCNTFY.EXE
.
**************************************************************************
.
Completion time: 08/07/2008 14:18:31 - machine was rebooted
ComboFix-quarantined-files.txt  2008-08-07 11:18:26
Pre-Run: 4,326,514,688 bytes free
Post-Run: 4,296,163,328 bytes free
114

شغلت الكاسبر مره اخرى و شغلت الهايحاك الخاص بك المرفق فى الاعلى
تقرير الهايجاك

كود: 
Logfile of HijackThis v1.99.1
Scan saved at 02:55:55 م, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ping.exe
C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Documents and Settings\Hatem\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [URL]http://go.microsoft.com/fwlink/?LinkId=74005[/URL]
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AntiARPStandalone] C:\Program Files\AntiARP Stand-alone Edition\AntiArp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video  with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

جزاك الله خيرا على اهتمامك و مساعده الاعضاء
 
توقيع : hatemgoda
تأييد 0
على ما يجي الغالي تركي

حدد القيم واحذفها


O11 - Options group: [INTERNATIONAL] International*




O11 - Options group: [TABS] Tabbed Browsing




طريقة الحذف

mg%20%283%29.png


mg%20%284%29.png




ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png
 
توقيع : AbOdy
تأييد 0
اخى الغالى AbOdy الكاسبر مش سامح بتنزيل الملف تقريبا فيه فيروس
 
توقيع : hatemgoda
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى