انجدونى انا فى ورطة مع عصابة فيروسات منها win32.Sality.Y

  • بادئ الموضوع بادئ الموضوع n-box
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,329
N

n-box

زيزوومي جديد
إنضم
5 أغسطس 2008
المشاركات
8
مستوى التفاعل
0
النقاط
0
غير متصل
بسم اللة ارحمن الرحيم
تعلمت من هذا المنتدى عدة طرق للتعامل مع الفيروسات ونتيجة لذلك اذا طرا اى خلل فى النظام اكتشفة فى الحال وفى مرة قمت بتركيب فلاش ميمورى وبدون فحص او اى شئ قمت بالدخول عليها
واذا باللجهاز فى حالة غريبة حسيت انى وقعت ضحية فيرس قلت الحق الموضوع واعمل سكان ولكن توقف عمل avira
وبالطبع الفيروس نسخ نفسة فى كل شئ على الجهاز والهارد عندى 500 جيجا ومسطب 4 نسخ وكل نسخة طرا فيها نفس العيب لا يمكن تسطيب انتى فيرس + ثقل فى الجهاز + كل شئ اتفيرس

اولا البيانات خاصتى او بصفة خاصة البرامج بس اللى اتفيرست فى جميع انحاء القرص ممكن ايجادها لكن باقى الداتا ومعظمها ملفات bin خاصة بعملى فى برمجيات المحمول وبالتالى 400 جيجا منهم ولكنهم غير قابلين للفيرس
اذا ما الطريقة لحل تلك المشكلة مع العلم ان اهم شئ عندى هوة المعلومات المهمة
وايضا قمت بالبحث قبل كتابة الموضوع وجربت الطريقة فى ذلك الموضوع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ولكن بلا فائدة

وهذا لوج بعد العملية دى تالت مرة ونفس الشئ



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:25, on 2008-08-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.vexe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\winbshq.exe
C:\WINDOWS\TEMP\elyti.exe
D:\sality remover\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Yahoo! Pager] ~"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 6969 bytes

:cr:

ارجو المساعدة وشكرا
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
حدد القيم التاليه وحذفهااا​

C:\WINDOWS\system32\services.vexe​

C:\WINDOWS\TEMP\winbshq.exe​

C:\WINDOWS\TEMP\elyti.exe​

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program
Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll​


طريقة الحذف


mg%20%283%29.png


mg%20%284%29.png




حمل الاداة التالية


الحجم : 365 كيلوبايت
التوافق : ويندوز اكسبي ( فقط )



رابط تحميل آخر تحديث للاداة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور


000.png





001.png





002.png





003.png





004.png




005.png
 
التعديل الأخير بواسطة المشرف:
توقيع : masha2008
تأييد 0
masha2008 قال:
C:\WINDOWS\system32\services.vexe​

C:\WINDOWS\TEMP\winbshq.exe​

C:\WINDOWS\TEMP\elyti.exe​
أنقر للتوسيع...


بالنسبة للقيم السابقة هي ملفات

والافضل حذفها بالوضع الامن

وذلك بالبحث عن الملف في نفس المسار وحذفه

ولكن اعمل نسخة من كل ملف لأخذ الحيطة

فقد يكون مهم
 
توقيع : البرونز
تأييد 0
شكرا على المساعدة يا جماعة بس الجهاز لا يقبل الدخول على السيف مود عند الدخول علية يقوم الجهاز باعادة التشغيل تلقائيا وملحوظة اصاب الفيرس جهازى الاخر على الشبكة ووجدت نفس المشاكل علية حتى موضوع عدم الدخول على السيف مود
 
تأييد 0
SmitFraudFix v2.334

Scan done at 0:19:41.18, Sun 08/10/2008
Run from C:\Documents and Settings\mesho--n--box\Desktop\General_Removal\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
 
تأييد 0
المفروض استخدام هذي الاداه اولا


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

وبعدين تقرير هاي جاك اخر لاقرب متابع

اعمل تقرير للهايجاك
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​


 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
n-box قال:
شكرا على المساعدة يا جماعة بس الجهاز لا يقبل الدخول على السيف مود عند الدخول علية يقوم الجهاز باعادة التشغيل تلقائيا وملحوظة اصاب الفيرس جهازى الاخر على الشبكة ووجدت نفس المشاكل علية حتى موضوع عدم الدخول على السيف مود
أنقر للتوسيع...


طبق هذا الموضوع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : البرونز
تأييد 0
اخوي نصيحه اخ

حمل الكاسبر الجديد من موضوع اخونا الغالي زيزوووم

هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وسوي تحديث وبعدين سوي سكان للجهاز كامل

وراح تدعيلي
 
توقيع : شوك الاهلاوي
تأييد 0
حمل هذي الأداة صغيرة من شركة الأفيرا
لحذف الفايروس​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ولا تنسى تعطل خاصية استعادة النظام قبل استخدام الأداة​
 
توقيع : KinXG BlacK
تأييد 0
اوك يا جماعة انا سابدا بحل الكاسبر وساوافيكم بالرد
 
تأييد 0
Demo-dash قال:
المفروض استخدام هذي الاداه اولا


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

وبعدين تقرير هاي جاك اخر لاقرب متابع

اعمل تقرير للهايجاك
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​


أنقر للتوسيع...


وبالنسبة لحل الصديق فهذا لوج ما بعد العملية




ComboFix 08-08-07.01 - mesho--n--box 2008-08-10 1:12:33.3 - NTFSx86
Running from: D:\sality remover\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Service_asc3360pr


((((((((((((((((((((((((( Files Created from 2008-07-09 to 2008-08-09 )))))))))))))))))))))))))))))))
.

2008-08-10 00:19 . 2008-08-10 00:19 1,326 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-08 01:15 . 2008-08-08 00:45 344,064 --a------ C:\WINDOWS\system32\rmsality.nt
2008-08-07 03:02 . 2008-08-08 03:17 <DIR> d-------- C:\Program Files\Common Files\vhvhvh
2008-08-06 15:03 . 2008-08-06 15:03 32 --ahs---- C:\WINDOWS\system32\{2EB5BCAD-C58A-4779-9AE0-A8F46E7F073F}.dat
2008-08-06 15:03 . 2008-08-06 15:03 32 --ahs---- C:\WINDOWS\{3C1B4D8C-D3D4-41A4-8FC7-9E1686AB7BCB}.dat
2008-08-06 15:02 . 2008-08-06 15:02 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\Symantec
2008-08-06 15:02 . 2008-08-06 20:21 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-06 15:02 . 2002-08-15 19:59 123,619 --a------ C:\WINDOWS\system32\SYMEVNT.386
2008-08-06 15:02 . 2002-08-15 19:59 83,672 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-08-06 15:02 . 2002-08-15 19:59 73,224 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-08-06 15:02 . 2008-08-06 15:02 14 --a------ C:\WINDOWS\system32\SR2.dat
2008-08-06 15:01 . 2008-08-06 20:21 <DIR> d-------- C:\Program Files\Norton AntiVirus
2008-08-06 15:01 . 2008-08-06 20:21 <DIR> d-------- C:\Program Files\Common Files\Symantec Shared
2008-08-05 21:19 . 2008-08-05 21:19 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Plugin
2008-08-05 01:46 . 2008-08-05 01:46 <DIR> d-------- C:\Program Files\Avira
2008-08-04 23:44 . 2008-08-04 23:44 <DIR> d-------- C:\Program Files\Sunbelt Software
2008-08-04 22:08 . 2008-08-06 20:21 <DIR> d-------- C:\Program Files\Security Task Manager
2008-08-04 22:08 . 2008-08-08 02:14 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SecTaskMan
2008-08-03 01:47 . 2008-08-03 01:47 <DIR> d-------- C:\Documents and Settings\tazebama.dl_Virus
2008-08-03 01:47 . 2008-08-05 20:48 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\Uniblue
2008-08-03 00:29 . 2008-08-03 00:29 0 --------- C:\sv
2008-08-01 21:27 . 2008-08-01 21:27 <DIR> d---s---- C:\Documents and Settings\mesho--n--box\UserData
2008-08-01 21:08 . 2008-08-01 21:08 <DIR> dr-h----- C:\Documents and Settings\mesho--n--box\Application Data\yahoo!
2008-07-31 20:09 . 2008-07-31 20:09 <DIR> d-------- C:\Documents and Settings\All Users\SonicStage
2008-07-31 20:04 . 2008-07-31 20:05 <DIR> d-------- C:\Program Files\Sony
2008-07-31 20:04 . 2008-07-31 20:04 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Sony Corporation
2008-07-31 20:03 . 2008-07-31 20:04 <DIR> d-------- C:\Program Files\Common Files\Sony Shared
2008-07-31 20:03 . 2008-07-31 20:09 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\Sony Corporation
2008-07-31 01:34 . 2008-07-31 01:34 <DIR> d-------- C:\Program Files\SweetIM
2008-07-31 01:34 . 2008-07-31 01:35 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SweetIM
2008-07-29 18:44 . 2008-07-29 19:06 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-07-26 16:40 . 2008-07-26 16:40 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\Nokia Multimedia Player
2008-07-21 17:47 . 2008-07-21 17:47 <DIR> d-------- C:\Program Files\DIFX
2008-07-21 17:47 . 2008-07-21 17:47 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\Nokia
2008-07-21 17:47 . 2008-07-21 17:47 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Suite
2008-07-21 17:46 . 2008-07-21 17:46 <DIR> d-------- C:\Program Files\PC Connectivity Solution
2008-07-21 17:46 . 2008-07-21 17:46 <DIR> d-------- C:\Program Files\Common Files\PCSuite
2008-07-21 17:46 . 2008-07-21 17:46 <DIR> d-------- C:\Program Files\Common Files\Nokia
2008-07-21 17:46 . 2008-07-21 17:46 <DIR> d-------- C:\Documents and Settings\mesho--n--box\Application Data\PC Suite
2008-07-21 17:46 . 2008-07-21 17:46 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Installations
2008-07-21 17:35 . 2008-05-07 07:38 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-07-21 17:33 . 2008-07-21 17:33 <DIR> d-------- C:\Program Files\ODEON
2008-07-21 17:33 . 2007-10-06 09:06 47,744 --a------ C:\WINDOWS\system32\drivers\vserial.sys
2008-07-21 17:33 . 2007-10-06 09:05 15,264 --a------ C:\WINDOWS\system32\drivers\vsb.sys
2008-07-21 17:22 . 2008-07-21 17:22 <DIR> d-------- C:\Program Files\Cable Finder
2008-07-21 17:22 . 2000-07-15 00:00 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-07-21 16:28 . 2008-07-21 16:28 <DIR> d-------- C:\Program Files\MP3 Player Utilities 4.00
2008-07-15 17:56 . 2008-07-15 17:56 <DIR> d-------- C:\Program Files\êي«يمى èں©ï êه¢ں¥ ںéںي©
2008-07-14 22:24 . 2008-07-14 22:24 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Phenomedia
2008-07-14 19:39 . 2008-07-14 19:39 <DIR> d-------- C:\WINDOWS\system32\LogFiles

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 00:08 2,007,044 ----a-w C:\Program Files\Common Files\03.mpeg
2008-08-02 23:07 --------- d-----w C:\Program Files\InfinityBox
2008-07-31 17:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-31 17:03 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-07-29 15:44 --------- d-----w C:\Program Files\Yahoo!
2008-07-21 14:46 --------- d-----w C:\Program Files\Nokia
2008-07-18 23:12 --------- d-----w C:\Program Files\JetAudio
2008-07-15 14:56 --------- d-----w C:\Program Files\موسوعه كباري مفتاح الباور
2008-07-07 22:54 --------- d-----w C:\Program Files\Realtek AC97
2008-07-07 14:50 --------- d-----w C:\Program Files\PC Wizard 2008
2008-07-07 14:35 24,576 ----a-w C:\WINDOWS\eg0bus.exe
2008-06-30 22:08 --------- d-----w C:\Program Files\Common Files\DirectX
2008-06-28 14:15 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-27 13:25 --------- d-----w C:\Program Files\Motorola Tools
2008-06-26 21:58 --------- d-----w C:\Documents and Settings\mesho--n--box\Application Data\COWON
2008-06-26 21:55 --------- d-----w C:\Program Files\Common Files\COWON
2008-06-26 21:29 --------- d-----w C:\Program Files\SLD CODEC PACK 1.5.3
2008-06-26 21:14 --------- d-----w C:\Program Files\directx
2008-06-26 20:08 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-06-23 15:27 --------- d-----w C:\Program Files\Common Files\Adobe
2008-06-23 15:24 --------- d-----w C:\Program Files\wageh C1000 C2000
2008-06-21 22:13 413,696 ----a-w C:\WINDOWS\system32\PST.DLL
2008-06-21 22:13 41,888 ----a-w C:\WINDOWS\system32\drivers\Oreans.sys
2008-06-21 22:13 122,880 ----a-w C:\WINDOWS\system32\mpkim.dll
2008-06-18 19:09 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-06-18 19:04 --------- d-----w C:\Program Files\AvantGo Connect
2008-06-18 04:18 --------- d-----w C:\Documents and Settings\mesho--n--box\Application Data\Apple Computer
2008-06-18 04:15 --------- d-----w C:\Program Files\Real
2008-06-18 04:15 --------- d-----w C:\Program Files\Common Files\xing shared
2008-06-18 04:15 --------- d-----w C:\Program Files\Common Files\Real
2008-06-18 04:04 --------- d-----w C:\Program Files\iTunes
2008-06-18 04:04 --------- d-----w C:\Program Files\iPod
2008-06-18 04:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-06-18 04:03 --------- d-----w C:\Program Files\QuickTime
2008-06-18 04:03 --------- d-----w C:\Program Files\Apple Software Update
2008-06-18 04:02 --------- d-----w C:\Program Files\Common Files\Apple
2008-06-18 04:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-06-16 23:13 47,104 ------w C:\WINDOWS\AKDeInstall.exe
2008-06-16 23:13 --------- d-----w C:\Program Files\mpegable
2008-06-16 23:08 --------- d-----w C:\Program Files\Opera
2008-06-16 21:39 --------- d-----w C:\Program Files\Motorola
2008-06-16 21:39 --------- d-----w C:\Program Files\Common Files\Motorola Shared
2008-06-16 21:31 4,608 ----a-w C:\WINDOWS\system32\R5CoInst.dll
2008-06-16 21:31 23,312 ----a-w C:\WINDOWS\system32\_shfoldr.dll
2008-06-16 21:31 21,888 ----a-w C:\WINDOWS\system32\drivers\eps2kt1.sys
2008-06-16 21:31 12,800 ----a-w C:\WINDOWS\system32\drivers\smccard.sys
2008-06-16 21:31 --------- d-----w C:\Program Files\Software Installation Information
2008-06-16 21:31 --------- d-----w C:\Program Files\backupdrivers
2008-06-15 00:34 --------- d-----w C:\Documents and Settings\mesho--n--box\Application Data\Ahead
2008-06-15 00:32 --------- d-----w C:\Program Files\Common Files\Ahead
2008-06-15 00:31 --------- d-----w C:\Program Files\Nero
2008-06-14 17:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-06-13 17:12 64,422 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-06-13 17:12 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-06-13 16:27 --------- d-----w C:\Program Files\Intel
2008-06-13 16:26 --------- d-----w C:\Documents and Settings\mesho--n--box\Application Data\InstallShield
2008-06-13 16:15 --------- d-----w C:\Program Files\microsoft frontpage
.

------- Sigcheck -------

2004-08-04 01:56 690176 3a5ee0514f56b1b775d7641cfba5ad37 C:\WINDOWS\system32\wininet.dll
2004-08-04 01:56 690176 3a5ee0514f56b1b775d7641cfba5ad37 C:\WINDOWS\system32\dllcache\wininet.dll

2004-08-04 01:56 974336 a5c1f2cf7c31874e66478910b43d6513 C:\WINDOWS\explorer.exe
2004-08-04 01:56 974336 a5c1f2cf7c31874e66478910b43d6513 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-08-08_ 0.24.01.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-03-18 22:05:02 630,784 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
+ 2007-03-18 22:05:02 708,608 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
- 2006-05-21 07:43:08 180,224 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
+ 2006-05-21 07:43:08 253,952 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
- 2006-05-21 07:43:14 155,648 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
+ 2006-05-21 07:43:14 229,376 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
+ 2008-08-09 22:15:38 5,509 ----a-w C:\WINDOWS\system32\drivers\nlfhqg.sys
- 2008-06-19 16:00:18 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-08-09 20:58:38 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-19 16:00:18 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-08-09 20:58:38 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-03-27 14:12 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper s\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-03-27 14:12 1164600 --a------ C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-03-27 14:12 1164600]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-03-27 14:12 1164600]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 01:05 708608]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 11:50 479311]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" [BU]
"Yahoo! Pager"="~C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [BU]
"Uniblue SpeedUpMyPC"="C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-18 20:26 7700480]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-18 20:26 86016]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 229376]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 13:10 340776]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-06-18 07:15 255528]
"SweetIM"="C:\Program Files\SweetIM\Messenger\SweetIM.exe" [2008-06-15 13:40 185656]
"SystemInit"="" [BU]
"Karen"="" [BU]
"raVe"="" [BU]
"SystemBackup"="" [BU]
"Win32BaseServiceMOD"="" [BU]
"startIE"="" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"raVe"="" [BU]
"Driver32"="" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1363968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispAppearancePage"= 0 (0x0)
"NoDispScrSavPage"= 0 (0x0)
"NoDispSettingsPage"= 0 (0x0)
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoFolderOptions"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"MSACM.CEGSM"= mobilev.acm
"vidc.DIV3"= DivXc32.dll
"vidc.MJPG"= m3jpeg32.dll
"msacm.DivXa32"= DivXa32.acm
"vidc.div4"= DivXc32f.dll
"vidc.xvid"= xvid.dll
"vidc.dmb1"= m3jpeg32.dll
"vidc.jpeg"= m3jpeg32.dll
"VIDC.HFYU"= huffyuv.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mesho--n--box^Start Menu^Programs^Startup^SpiderMan v2.20 .lnk]
path=C:\Documents and Settings\mesho--n--box\Start Menu\Programs\Startup\SpiderMan v2.20 .lnk
backup=C:\WINDOWS\pss\SpiderMan v2.20 .lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^mesho--n--box^Start Menu^Programs^Startup^شرح تفليش الصينى من محلات وجيه.lnk]
path=C:\Documents and Settings\mesho--n--box\Start Menu\Programs\Startup\شرح تفليش الصينى من محلات وجيه.lnk
backup=C:\WINDOWS\pss\شرح تفليش الصينى من محلات وجيه.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 01:56 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 466944 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-04-18 20:26 1695744 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Motorola\\RSD Lite\\SDL.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Opera\\opera.exe"=
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"= C:\\Program Files\\Microsoft ActiveSync\\WCESCOMM.EXE
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=
"\\\\Mesho1\\منوع (F)\\games\\RED FACTION\\RF.EXE"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\reader_sl.exe"=
"C:\\WINDOWS\\system32\\taskmgr.exe"=
"C:\\Program Files\\Common Files\\Ahead\\Lib\\NeroCheck.exe"=
"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE"=
"C:\\Program Files\\Yahoo!\\Yahoo! Widget Engine\\YahooWidgetEngine.exe"=
"C:\\Program Files\\Security Task Manager\\TaskMan.exe"=
"C:\\Program Files\\WinRAR\\WinRAR.exe"=
"C:\\Program Files\\Common Files\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe"=
"C:\\WINDOWS\\system32\\wscntfy.exe"=
"C:\\Program Files\\iTunes\\iTunesHelper.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\ymsgr_tray.exe"=
"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe"=
"C:\\Program Files\\iPod\\bin\\iPodService.exe"=
"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\sched.exe"=
"D:\\sality remover\\HiJackThis.exe"=
"C:\\WINDOWS\\BricoPacks\\Vista Inspirat 2\\UberIcon\\UberIcon Manager.exe"=
"C:\\Program Files\\SweetIM\\Messenger\\SweetIM.exe"=
"C:\\WINDOWS\\BricoPacks\\Vista Inspirat 2\\RocketDock\\RocketDock.exe"=
"C:\\DOCUME~1\\MESHO-~1\\LOCALS~1\\Temp\\winurean.exe"=
"C:\\DOCUME~1\\MESHO-~1\\LOCALS~1\\Temp\\eclb.exe"=

R2 LyrtechCpa2;Spider-BOX-USB_2007 ;C:\WINDOWS\system32\DRIVERS\Spider.sys [2007-08-01 10:54]
R3 Egatecard;Egatecard;C:\WINDOWS\system32\Drivers\egate.sys [2003-11-12 19:38]
R3 SciU2S;Spreadtrum USB to Serial port driver for dl;C:\WINDOWS\system32\DRIVERS\SciU2S.sys [2006-05-31 15:55]
R3 token;USB Token Service;C:\WINDOWS\system32\DRIVERS\eps2kt1.sys [2008-06-17 00:31]
R3 UFS2XX;UFS2XX.SYS UFS2 device driver;C:\WINDOWS\system32\Drivers\UFS2XX.sys [2005-12-15 16:27]
S3 Egatebus;Egatebus;C:\WINDOWS\system32\drivers\egatebus.sys [2003-11-12 19:37]
S3 Egaterdr;Egaterdr;C:\WINDOWS\system32\drivers\egaterdr.sys [2003-11-12 19:37]
S3 R5BaseSmc;USB Token Holder Service;C:\WINDOWS\system32\DRIVERS\smccard.sys [2008-06-17 00:31]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00263e33-598d-11dd-a785-001d7d4276d5}]
\Shell\AutoRun\command - I:\SCVHSOT.exe
\Shell\Open\command - I:\SCVHSOT.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{04e98230-3fdc-11dd-8aea-001d7d4276d5}]
\Shell\AutoplAy\CommanD - I:\slqli.exe
\Shell\AutoRun\command - I:\slqli.exe
\Shell\EXploRE\CoMmAnd - I:\slqli.exe
\Shell\open\coMmaND - I:\slqli.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2e476caf-4dda-11dd-a747-001d7d4276d5}]
\Shell\AutoRun\command - I:\4sv.exe
\Shell\explore\Command - I:\4sv.exe
\Shell\open\Command - I:\4sv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d719f412-505b-11dd-a751-001d7d4276d5}]
\Shell\AutoRun\command - I:\4sv.exe
\Shell\explore\Command - I:\4sv.exe
\Shell\open\Command - I:\4sv.exe

*Newly Created Service* - ASC3360PR
.
s of the 'Scheduled Tasks' folder

2008-08-06 C:\WINDOWS\Tasks\Norton AntiVirus - Scan my computer.job
- C:\PROGRA~1\NORTON~1\NAVW32.exe []

2008-08-09 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE []

2008-08-05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []

2008-08-05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe []
.
.
------- Supplementary Scan -------
.
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
O18 -: Handler: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82} - C:\Program Files\Microsoft ActiveSync\aatp.dll
O18 -: WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll
O18 -: WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - C:\Program Files\Microsoft ActiveSync\cenetflt.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-08-10 01:15:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\WINDOWS\system32\drivers\nlfhqg.sys 5509 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\asc3360pr]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\nlfhqg.sys"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\scardsvr.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\MESHO-~1\LOCALS~1\temp\winurean.exe
C:\DOCUME~1\MESHO-~1\LOCALS~1\temp\eclb.exe
.
**************************************************************************
.
Completion time: 2008-08-10 1:21:04 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-09 22:20:50
ComboFix2.txt 2008-08-07 21:42:35

Pre-Run: 11,774,406,656 bytes free
Post-Run: 11,845,087,232 bytes free

348
 
تأييد 0
ودة تقرير الهايجاك




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:34:22, on 8/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\MESHO-~1\LOCALS~1\Temp\winurean.exe
C:\DOCUME~1\MESHO-~1\LOCALS~1\Temp\eclb.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\opera.exe
D:\sality remover\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [Yahoo! Pager] ~"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Uniblue SpeedUpMyPC] C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe -s
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Program Files\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 6897 bytes
 
تأييد 0
الا يوجد حل يا اخوان اريد المساعدة
 
تأييد 0
شوك الاهلاوي قال:
اخوي نصيحه اخ

حمل الكاسبر الجديد من موضوع اخونا الغالي زيزوووم

هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وسوي تحديث وبعدين سوي سكان للجهاز كامل

وراح تدعيلي
أنقر للتوسيع...



تم حل المشكلة ولكن بعد تنزيل نسخة ويندوز وعدم الدخول على اى قرص نهائى ووضع البرنامج على فلاش ديسك وتسطيبة وبعد ذلك يتعامل البرنامج بكل سهولة


شكرا للمساعدة
وخالص تقديرى لفريق زيزوم
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى