تقرير HijackThis بحاجة لفحص

فلسطينيـ · 14 أغسطس 2008

السلام عليكم

ممكن فحص هذا التقرير؟؟

لأنى اعانى من عدم المقدرة على تسطيب انتى فايروس
وايضا الجهاز ثقيل بالرغم من عمل فورمات لـ : c

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:46 م, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\explorer.exe
F:\Zyzoom_HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\m\LOCALS~1\Temp\winbfflb.exe
C:\DOCUME~1\m\LOCALS~1\Temp\winheada.exe
C:\WINDOWS\system32\mmc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AdVantage Setup] C:\Program Files\Webteh\BSplayer\AdVantageSetup.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC29E4-5D93-4477-AFCB-A3B96663E7E9}: NameServer = 10.0.0.138
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

--
End of file - 2374 bytes

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
بارك الله فيـك k:

حدد التالي فقط :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local

ونصيـحه احذف الإفيجي انتي سبايويـر

وحمـل الأفيرا من هنا :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والمفتاح من هنــا :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بنتظار ردك

تم حذف الأفيجى انتى سبايوير

وتم تحميل الافيرا
وعند الضغط علية لاقوم بتسطيبة لا يقبل للاسف

يخرب بيت الفايروس

بانتظاركــ

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
تم حذف الأفيجى انتى سبايوير

وتم تحميل الافيرا
وعند الضغط علية لاقوم بتسطيبة لا يقبل للاسف

يخرب بيت الفايروس

بانتظاركــ

بحول الله الحلول موجوده ...

طيب لاهنت اعمل الآتي بالترتيـب ::

(1)

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

قم بتشغيلها واتبع الشرح :

ستظهر لك هذه الشاشة السوداء ماعليك سوى الإنتظار :

تخبرك الرسالة القادمة بأنه سيتم إعادة التشغيل تلقائيا :

بعد إعادة التشغيل وعند بدء الدخول ستظهر لك هذه النافذه ماعليـك سوى الإنتظار

هذه هو التقرير قد خرج انسخه والصقه في ردك القادم

(2)

حمل أداة الهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد ان تشغل البرنامج اعمل الاتي :

ستظهر لك هذه النافذه .. اتبع الشرح :

ثم ستظهر لك هذه النافذه ::

انسخ التقرير كاملا وارفقه في ردك القادم لتحليله

بنتظار التقريرين

فلسطينيـ · 15 أغسطس 2008

اخى انظر الصور

هناك شئ يقوم بالتحميل بالخلفية

اكيد هناك شئ خفى يقوم بالتحميل فى الخلفية

بانتظاركــــــ

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
بحول الله الحلول موجوده ...

طيب لاهنت اعمل الآتي بالترتيـب ::

(1)

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

قم بتشغيلها واتبع الشرح :

ستظهر لك هذه الشاشة السوداء ماعليك سوى الإنتظار :

تخبرك الرسالة القادمة بأنه سيتم إعادة التشغيل تلقائيا :

بعد إعادة التشغيل وعند بدء الدخول ستظهر لك هذه النافذه ماعليـك سوى الإنتظار

هذه هو التقرير قد خرج انسخه والصقه في ردك القادم

(2)

حمل أداة الهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد ان تشغل البرنامج اعمل الاتي :

ستظهر لك هذه النافذه .. اتبع الشرح :

ثم ستظهر لك هذه النافذه ::

انسخ التقرير كاملا وارفقه في ردك القادم لتحليله

بنتظار التقريرين

تفضل اخى الكريم

يارب يكون كل شئ تمام وتم القضاء على الفايروس اللعين

التقرير الاول

ComboFix 08-08-14.05 - m 08/15/2008 18:48:37.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1025.18.98 [GMT 2:00]
Running from: C:\Documents and Settings\m\سطح المكتب\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\dnsq.dll

.
((((((((((((((((((((((((( Files Created from 2008-07-15 to 2008-08-15 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 07:04 --------- d-----w C:\Program Files\LeapFTP
2008-08-14 23:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee
2008-08-14 23:47 --------- d-----w C:\Documents and Settings\m\Application Data\IDM
2008-08-14 23:46 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-14 23:46 --------- d-----w C:\Documents and Settings\m\Application Data\DMCache
2008-08-14 22:54 --------- d-----w C:\Documents and Settings\m\Application Data\CyberScrub
2008-08-14 22:53 --------- d-----w C:\Documents and Settings\m\Application Data\cleaner
2008-08-14 21:00 --------- d-----w C:\Program Files\AdVantage
2008-08-14 20:23 155,995 ----a-w C:\WINDOWS\java\Packages\2RNFFZRH.ZIP
2008-08-14 19:52 --------- d-----w C:\Program Files\MSN Messenger
2008-08-14 18:38 --------- d-----w C:\Program Files\Webteh
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer Pro
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer
2008-08-14 17:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-14 16:09 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-09 14:34 206,256 ----a-w C:\WINDOWS\system32\idmmbc.dll
.

((((((((((((((((((((((((((((( snapshot@Thu 08-14-2008_22.57.35.55 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-02-25 03:34:30 14,560 ------w C:\WINDOWS\$hf_mig$\KB898461\spmsg.dll
+ 2005-02-25 03:34:30 209,120 ------w C:\WINDOWS\$hf_mig$\KB898461\spuninst.exe
+ 2005-02-25 03:34:30 22,752 ------w C:\WINDOWS\$hf_mig$\KB898461\spupdsvc.exe
+ 2005-02-25 03:34:30 22,240 ------w C:\WINDOWS\$hf_mig$\KB898461\update\spcustom.dll
+ 2005-02-25 03:34:30 714,976 ------w C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
+ 2005-02-25 03:34:30 369,888 ------w C:\WINDOWS\$hf_mig$\KB898461\update\updspapi.dll
+ 2005-02-25 03:34:30 209,120 ------w C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe
+ 2005-02-25 03:34:30 369,888 ------w C:\WINDOWS\$NtUninstallKB898461$\spuninst\updspapi.dll
- 2008-08-14 16:06:00 8,738 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
+ 2008-08-14 22:02:06 8,972 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
- 2008-08-14 16:05:50 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
+ 2008-08-15 12:06:22 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
- 2008-08-14 16:06:00 2,112 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
+ 2008-08-15 12:06:22 2,426 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
+ 2008-08-14 23:49:12 34,308 ----a-w C:\WINDOWS\system32\BASSMOD.dll
- 2004-08-03 20:55:32 66,560 ----a-w C:\WINDOWS\system32\cdm.dll
+ 2007-07-30 17:19:20 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
- 2004-08-03 20:55:32 66,560 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
+ 2007-07-30 17:19:20 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
- 2004-08-03 22:56:00 430,080 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
+ 2007-07-30 17:19:36 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
- 2004-08-03 22:56:36 110,592 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
- 2004-08-03 22:56:02 1,134,592 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
- 2004-08-03 22:56:02 112,128 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
+ 2007-07-30 17:19:32 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
- 2004-08-03 22:56:02 36,864 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
- 2004-08-03 22:56:02 120,320 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
+ 2007-07-30 17:19:28 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.0.6000.381\wups.dll
+ 2005-02-25 03:34:30 14,560 ------w C:\WINDOWS\system32\spmsg.dll
+ 2005-02-25 03:34:30 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
- 2004-08-03 22:56:00 430,080 ----a-w C:\WINDOWS\system32\wuapi.dll
+ 2007-07-30 17:19:36 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
- 2004-08-03 22:56:36 110,592 ----a-w C:\WINDOWS\system32\wuauclt.exe
+ 2007-07-30 17:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
- 2004-08-03 22:56:02 1,134,592 ----a-w C:\WINDOWS\system32\wuaueng.dll
+ 2007-07-30 17:19:42 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
- 2004-08-03 22:56:02 112,128 ----a-w C:\WINDOWS\system32\wucltui.dll
+ 2007-07-30 17:19:32 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
- 2004-08-03 22:56:02 36,864 ----a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\system32\wups.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
- 2004-08-03 22:56:02 120,320 ----a-w C:\WINDOWS\system32\wuweb.dll
+ 2007-07-30 17:19:28 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
+ 2002-08-16 13:15:52 65,536 ----a-w C:\WINDOWS\unleap.exe
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:55 PM 5735792]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [07/29/2008 04:18 PM 2672048]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_CF]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 10:56 PM 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [08/04/2004 01:09 AM 1729024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [08/04/2004 12:56 AM 158208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 10:56 PM 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoUserNameInStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 08/03/2004 10:56 PM 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 07/29/2008 04:18 PM 2672048 C:\Program Files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"= C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"F:\\Zyzoom_HijackThis.exe"=
"C:\\WINDOWS\\system32\\CF17105.exe"=
"C:\\Program Files\\Internet Download Manager\\IDMan.exe"=

R3 aic32p;aic32p;C:\WINDOWS\system32\drivers\mhieln.sys []
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [08/17/2001 12:51 PM]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run_CF-amva - C:\WINDOWS\system32\amvo.exe
HKCU-Run_CF-kamsoft - C:\WINDOWS\system32\ckvo.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\m\Application Data\Mozilla\Firefox\Profiles\zxupuf27.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-08-15 18:55:16
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Internet Download Manager\IEMonitor.exe
.
**************************************************************************
.
Completion time: 08/15/2008 18:58:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-15 16:58:32
ComboFix2.txt 2008-08-14 21:01:58

Pre-Run: 2,179,416,064 bytes free
Post-Run: 2,256,728,064 bytes free

158 --- E O F --- 2008-08-15 12:57:45

التقرير الثانى

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:59:17 م, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
F:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC29E4-5D93-4477-AFCB-A3B96663E7E9}: NameServer = 10.0.0.138

--
End of file - 2640 bytes

بانتظاركــــــــ

Al jNtEeL · 15 أغسطس 2008

تـم حذف 5 فايروسات خبيثه

جرب الآن ثبت الأفيـرا ورد لي خبـر

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
تـم حذف 5 فايروسات خبيثه

جرب الآن ثبت الأفيـرا ورد لي خبـر

للاسف لا فائدة

اخى انظر الصورة

كيف يحصل هذا

سامحنى الصورة شكلها غبى

لانى استعملت الرسام فى التحديد على الاخطاء

وهذا تقرير للهايجاك مرة اخرى

سامحنى غلبتك معى اليوم لكن ما لى سبيل الا الله ثم انتمـ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:56:45 م, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\DOCUME~1\m\LOCALS~1\Temp\winkojn.exe
C:\DOCUME~1\m\LOCALS~1\Temp\windymrp.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
F:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC29E4-5D93-4477-AFCB-A3B96663E7E9}: NameServer = 10.0.0.138

--
End of file - 3029 bytes

سامحنـــــــى

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
للاسف لا فائدة

اخى انظر الصورة

كيف يحصل هذا

سامحنى الصورة شكلها غبى

لانى استعملت الرسام فى التحديد على الاخطاء

وهذا تقرير للهايجاك مرة اخرى

سامحنى غلبتك معى اليوم لكن ما لى سبيل الا الله ثم انتمـ

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:56:45 م, on 15/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\DOCUME~1\m\LOCALS~1\Temp\winkojn.exe
C:\DOCUME~1\m\LOCALS~1\Temp\windymrp.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
F:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC29E4-5D93-4477-AFCB-A3B96663E7E9}: NameServer = 10.0.0.138

--
End of file - 3029 bytes

سامحنـــــــى

مافيـها شيء الي حددت عليها ابــدا وبالنسبة للصورة :hh::hh: عادي أهم شيء وصلت المطلوب :d:

لاهنت ادخل الوضع الآمن << لاحظ الوضع الآمن :q: .. وعمل التالي لأنه واضح الفايروسات ذي ماتروح إلا في الوضع الآمن :::

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

قم بتشغيلها واتبع الشرح :

ستظهر لك هذه الشاشة السوداء ماعليك سوى الإنتظار :

تخبرك الرسالة القادمة بأنه سيتم إعادة التشغيل تلقائيا :

بعد إعادة التشغيل وعند بدء الدخول ستظهر لك هذه النافذه ماعليـك سوى الإنتظار

هذه هو التقرير قد خرج انسخه والصقه في ردك القادم

ثم بعد اعادة التشغيـل احفظ التقرير وادخـل الوضع الآمن مرة اخرى واعمل التالي :

شغل اداة المكافي واعمل فحص جديد مرة اخرى :

ولحفظ التقرير اعمل التالي ,,

بعدهاا ارفع التقرير على هذا الموقع ,, وارفق الرابط بردك القادم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بنتظار التقريريـن بعد التطبيـق الدقيق

بنتظارك

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
مافيـها شيء الي حددت عليها ابــدا وبالنسبة للصورة :hh::hh: عادي أهم شيء وصلت المطلوب :d:

لاهنت ادخل الوضع الآمن << لاحظ الوضع الآمن :q: .. وعمل التالي لأنه واضح الفايروسات ذي ماتروح إلا في الوضع الآمن :::

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

قم بتشغيلها واتبع الشرح :

ستظهر لك هذه الشاشة السوداء ماعليك سوى الإنتظار :

تخبرك الرسالة القادمة بأنه سيتم إعادة التشغيل تلقائيا :

بعد إعادة التشغيل وعند بدء الدخول ستظهر لك هذه النافذه ماعليـك سوى الإنتظار

هذه هو التقرير قد خرج انسخه والصقه في ردك القادم

ثم بعد اعادة التشغيـل احفظ التقرير وادخـل الوضع الآمن مرة اخرى واعمل التالي :

شغل اداة المكافي واعمل فحص جديد مرة اخرى :

ولحفظ التقرير اعمل التالي ,,

بعدهاا ارفع التقرير على هذا الموقع ,, وارفق الرابط بردك القادم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بنتظار التقريريـن بعد التطبيـق الدقيق

بنتظارك

سأقوم بالتجربة فى الوضع الامن

أتمنى الا يخذلنى الويندوز ويقبل الدخول للوضع الامن

لى عودة ان شاء الله

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
سأقوم بالتجربة فى الوضع الامن

أتمنى الا يخذلنى الويندوز ويقبل الدخول للوضع الامن

لى عودة ان شاء الله

بالتوفيـق وان شاء الله يدخل بالطيـب ولا نوريـه شغله :hh:

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
بالتوفيـق وان شاء الله يدخل بالطيـب ولا نوريـه شغله :hh:

تفضل هذا التقرير للاداة الاولى

ComboFix 08-08-14.05 - m 08/15/2008 20:32:19.3 - FAT32x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1025.18.175 [GMT 2:00]
Running from: C:\Documents and Settings\m\سطح المكتب\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-07-15 to 2008-08-15 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 07:04 --------- d-----w C:\Program Files\LeapFTP
2008-08-14 23:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee
2008-08-14 23:47 --------- d-----w C:\Documents and Settings\m\Application Data\IDM
2008-08-14 23:46 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-14 23:46 --------- d-----w C:\Documents and Settings\m\Application Data\DMCache
2008-08-14 22:54 --------- d-----w C:\Documents and Settings\m\Application Data\CyberScrub
2008-08-14 22:53 --------- d-----w C:\Documents and Settings\m\Application Data\cleaner
2008-08-14 21:00 --------- d-----w C:\Program Files\AdVantage
2008-08-14 20:23 155,995 ----a-w C:\WINDOWS\java\Packages\2RNFFZRH.ZIP
2008-08-14 19:52 --------- d-----w C:\Program Files\MSN Messenger
2008-08-14 18:38 --------- d-----w C:\Program Files\Webteh
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer Pro
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer
2008-08-14 17:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-14 16:09 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-09 14:34 206,256 ----a-w C:\WINDOWS\system32\idmmbc.dll
.

------- Sigcheck -------

08/03/2004 10:56 PM 1091072 772802935ce380516b82e6e2d2eb6340 C:\WINDOWS\explorer.exe
08/03/2004 10:56 PM 1029632 932f97b77f2625f7ff7dfc97552548f8 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_Fri 08-15-2008_18.56.36.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-03 22:56:22 158,208 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
+ 2004-08-03 22:56:22 281,088 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
- 2004-08-03 20:56:28 146,944 ----a-w C:\WINDOWS\regedit.exe
+ 2004-08-03 20:56:28 208,384 ----a-w C:\WINDOWS\regedit.exe
- 2004-08-03 20:56:06 388,608 ----a-w C:\WINDOWS\system32\cmd.exe
+ 2004-08-03 20:56:06 458,240 ----a-w C:\WINDOWS\system32\cmd.exe
- 2004-08-03 20:56:14 38,912 ----a-w C:\WINDOWS\system32\grpconv.exe
+ 2004-08-03 20:56:14 100,352 ----a-w C:\WINDOWS\system32\grpconv.exe
- 2004-08-03 22:56:24 342,016 ----a-w C:\WINDOWS\system32\mspaint.exe
+ 2004-08-03 22:56:24 403,456 ----a-w C:\WINDOWS\system32\mspaint.exe
- 2004-08-03 20:56:24 69,120 ----a-w C:\WINDOWS\system32\notepad.exe
+ 2004-08-03 20:56:24 130,560 ----a-w C:\WINDOWS\system32\notepad.exe
- 2004-08-03 20:56:34 139,264 ----a-w C:\WINDOWS\system32\taskmgr.exe
+ 2004-08-03 20:56:34 200,704 ----a-w C:\WINDOWS\system32\taskmgr.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:55 PM 5735792]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_CF]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 10:56 PM 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [08/04/2004 01:09 AM 1729024]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:55 PM 5735792]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [07/29/2008 04:18 PM 2672048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [08/04/2004 12:56 AM 281088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 10:56 PM 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoUserNameInStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 08/03/2004 10:56 PM 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 07/29/2008 04:18 PM 2672048 C:\Program Files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"= C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"F:\\Zyzoom_HijackThis.exe"=
"C:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"C:\\Documents and Settings\\m\\سطح المكتب\\ComboFix.exe"=
"C:\\WINDOWS\\system32\\CF4695.exe"=

S3 aic32p;aic32p;C:\WINDOWS\system32\drivers\mhieln.sys []
S3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [08/17/2001 12:51 PM]

*Newly Created Service* - PSEXESVC
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\m\Application Data\Mozilla\Firefox\Profiles\zxupuf27.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-08-15 20:36:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 08/15/2008 20:38:49
ComboFix-quarantined-files.txt 2008-08-15 18:38:46
ComboFix3.txt 2008-08-14 21:01:58
ComboFix2.txt 2008-08-15 16:58:42

Pre-Run: 2,318,725,120 bytes free
Post-Run: 2,374,270,976 bytes free

110 --- E O F --- 2008-08-15 12:57:45

ولكن للاسف لم استطع الدخول مرة اخرى للوضع الادمن

فشل الدخول ويقوم بعمل ريستارت لوحدة عند الدخول بالوضع الأمن

نشوف اخرتها مع هالفايروسات الغبية

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
تفضل هذا التقرير للاداة الاولى

ComboFix 08-08-14.05 - m 08/15/2008 20:32:19.3 - FAT32x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1025.18.175 [GMT 2:00]
Running from: C:\Documents and Settings\m\سطح المكتب\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-07-15 to 2008-08-15 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 07:04 --------- d-----w C:\Program Files\LeapFTP
2008-08-14 23:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee
2008-08-14 23:47 --------- d-----w C:\Documents and Settings\m\Application Data\IDM
2008-08-14 23:46 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-14 23:46 --------- d-----w C:\Documents and Settings\m\Application Data\DMCache
2008-08-14 22:54 --------- d-----w C:\Documents and Settings\m\Application Data\CyberScrub
2008-08-14 22:53 --------- d-----w C:\Documents and Settings\m\Application Data\cleaner
2008-08-14 21:00 --------- d-----w C:\Program Files\AdVantage
2008-08-14 20:23 155,995 ----a-w C:\WINDOWS\java\Packages\2RNFFZRH.ZIP
2008-08-14 19:52 --------- d-----w C:\Program Files\MSN Messenger
2008-08-14 18:38 --------- d-----w C:\Program Files\Webteh
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer Pro
2008-08-14 18:38 --------- d-----w C:\Documents and Settings\m\Application Data\BSplayer
2008-08-14 17:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2008-08-14 16:09 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-09 14:34 206,256 ----a-w C:\WINDOWS\system32\idmmbc.dll
.

------- Sigcheck -------

08/03/2004 10:56 PM 1091072 772802935ce380516b82e6e2d2eb6340 C:\WINDOWS\explorer.exe
08/03/2004 10:56 PM 1029632 932f97b77f2625f7ff7dfc97552548f8 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((( snapshot_Fri 08-15-2008_18.56.36.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2004-08-03 22:56:22 158,208 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
+ 2004-08-03 22:56:22 281,088 ----a-w C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
- 2004-08-03 20:56:28 146,944 ----a-w C:\WINDOWS\regedit.exe
+ 2004-08-03 20:56:28 208,384 ----a-w C:\WINDOWS\regedit.exe
- 2004-08-03 20:56:06 388,608 ----a-w C:\WINDOWS\system32\cmd.exe
+ 2004-08-03 20:56:06 458,240 ----a-w C:\WINDOWS\system32\cmd.exe
- 2004-08-03 20:56:14 38,912 ----a-w C:\WINDOWS\system32\grpconv.exe
+ 2004-08-03 20:56:14 100,352 ----a-w C:\WINDOWS\system32\grpconv.exe
- 2004-08-03 22:56:24 342,016 ----a-w C:\WINDOWS\system32\mspaint.exe
+ 2004-08-03 22:56:24 403,456 ----a-w C:\WINDOWS\system32\mspaint.exe
- 2004-08-03 20:56:24 69,120 ----a-w C:\WINDOWS\system32\notepad.exe
+ 2004-08-03 20:56:24 130,560 ----a-w C:\WINDOWS\system32\notepad.exe
- 2004-08-03 20:56:34 139,264 ----a-w C:\WINDOWS\system32\taskmgr.exe
+ 2004-08-03 20:56:34 200,704 ----a-w C:\WINDOWS\system32\taskmgr.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:55 PM 5735792]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_CF]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 10:56 PM 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [08/04/2004 01:09 AM 1729024]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [01/19/2007 12:55 PM 5735792]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [07/29/2008 04:18 PM 2672048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE" [08/04/2004 12:56 AM 281088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 10:56 PM 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoUserNameInStartMenu"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 08/03/2004 10:56 PM 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 07/29/2008 04:18 PM 2672048 C:\Program Files\Internet Download Manager\IDMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ctfmon.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"= C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"F:\\Zyzoom_HijackThis.exe"=
"C:\\Program Files\\Internet Download Manager\\IDMan.exe"=
"C:\\Documents and Settings\\m\\سطح المكتب\\ComboFix.exe"=
"C:\\WINDOWS\\system32\\CF4695.exe"=

S3 aic32p;aic32p;C:\WINDOWS\system32\drivers\mhieln.sys []
S3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [08/17/2001 12:51 PM]

*Newly Created Service* - PSEXESVC
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\m\Application Data\Mozilla\Firefox\Profiles\zxupuf27.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-08-15 20:36:49
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 08/15/2008 20:38:49
ComboFix-quarantined-files.txt 2008-08-15 18:38:46
ComboFix3.txt 2008-08-14 21:01:58
ComboFix2.txt 2008-08-15 16:58:42

Pre-Run: 2,318,725,120 bytes free
Post-Run: 2,374,270,976 bytes free

110 --- E O F --- 2008-08-15 12:57:45

ولكن للاسف لم استطع الدخول مرة اخرى للوضع الادمن

فشل الدخول ويقوم بعمل ريستارت لوحدة عند الدخول بالوضع الأمن

نشوف اخرتها مع هالفايروسات الغبية

تفضل هذه الأداة تفيدك جدآ وبحول الله تستطيـع الدخول

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

‏

رابط لعيونك من رفعـي :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
تفضل هذه الأداة تفيدك جدآ وبحول الله تستطيـع الدخول

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
‏

رابط لعيونك من رفعـي :
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بارك الله فيك

حملت الاداة من الرابط من رفعك

وجدت اربع خيارات

دخل بالاول لم يدخل بالسيف مود

دخلت بالثانى للاسف اصبح الجهاز يدخل ويقوم بعمل ريستارت تلقائيا

ولا استطيع الدخول على الويندوز

ما الحل الان

نخرج من مشكلة نقع بمشكلة اخرى

يارب عفووك

ملاحظة انا اعمل على جهاز اخر:er::er:

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
بارك الله فيك

حملت الاداة من الرابط من رفعك

وجدت اربع خيارات

دخل بالاول لم يدخل بالسيف مود

دخلت بالثانى للاسف اصبح الجهاز يدخل ويقوم بعمل ريستارت تلقائيا

ولا استطيع الدخول على الويندوز

ما الحل الان

نخرج من مشكلة نقع بمشكلة اخرى

يارب عفووك

ملاحظة انا اعمل على جهاز اخر:er::er:

وفيـك أخي العزيز ولا تخـف هناك حل سيحل كل هذا لكن سأجعله آخر شيء

بالنسبه للأداة اختر آخر خيار واضغط رستارت من البرنامج وبحول الله يدخل

بنتظارك

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
وفيـك أخي العزيز ولا تخـف هناك حل سيحل كل هذا لكن سأجعله آخر شيء

بالنسبه للأداة اختر آخر خيار واضغط رستارت من البرنامج وبحول الله يدخل

بنتظارك

اخى الكريم لا استطيع الدخول على الويندوز

لاجرب الاداة الجهاز عند الدخول يعمل ريستارت فقط

ويعود مرة اخرى ويعمل ريستارت وهكذا

Al jNtEeL · 15 أغسطس 2008

طيب الحل الأكيـد والأخيـر

استخدم سيدي الويـندوز وقم بالإقلاع منه

عند الاقلاع من قرص الوندوز اكسبي

عند ظهور هذه الشاشة أضغط انتر

من هذه الشاشة لاحظ أنه يظهر أمر الاصلاح وهو الامر الثاني ولكن ليس هو غايتنا

اضغط على أنتر لتكمل ولتصل لخيار الأصلاح

من هذه الشاشة أضغط على F8

من هنا الآن نضغط على الحرف R

الآن لانضغط على شيئ لأننا لانريد الأقلاع من السيدي مرة ثانية

ثم نتابع التنصيب حتى النهاية وهكذا نكون قد أتممنا عملية الاصلاح

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
طيب الحل الأكيـد والأخيـر

استخدم سيدي الويـندوز وقم بالإقلاع منه

عند الاقلاع من قرص الوندوز اكسبي

عند ظهور هذه الشاشة أضغط انتر

من هذه الشاشة لاحظ أنه يظهر أمر الاصلاح وهو الامر الثاني ولكن ليس هو غايتنا

اضغط على أنتر لتكمل ولتصل لخيار الأصلاح

من هذه الشاشة أضغط على F8

من هنا الآن نضغط على الحرف R

الآن لانضغط على شيئ لأننا لانريد الأقلاع من السيدي مرة ثانية

ثم نتابع التنصيب حتى النهاية وهكذا نكون قد أتممنا عملية الاصلاح

يبدو بانة لا حل لاسف

سدى الويندوز لا يقلع ولا تاتى الخطوة الاولى

يبدو بأن السى دى بة مشكلة للاسف

بدل ما نصلح خربنـــا

ياااارب عفووك

:er::no::er:

Al jNtEeL · 15 أغسطس 2008

اعمل التالي ثم اقلع بالسيدي

عند بداية تشغيل جهازك اضغط على المفتاح
F2 او DEL او DELETE او CONTROL + SHIFT + ESC
على حسب نوع الجهاز ,, بعدها تظهر لك الشاشه الرئيسيه لاعدادات البايوز
وهذه اعدادات البايوز لأشهر الشركات

الاولى

الثانيه

الثالثه

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
اعمل التالي ثم اقلع بالسيدي

عند بداية تشغيل جهازك اضغط على المفتاح
F2 او DEL او DELETE او CONTROL + SHIFT + ESC
على حسب نوع الجهاز ,, بعدها تظهر لك الشاشه الرئيسيه لاعدادات البايوز
وهذه اعدادات البايوز لأشهر الشركات

الاولى

الثانيه

الثالثه

بارك الله فيك اخى

سامحنى غلبتك اليووم طول النهار

لكن يبدو للاسف ما فى حل

الاعدادت صحيحة

واصبحت تاتى كما بالصورة الاولى

ولكن عند الضغط انتر للتبويت من السى دى روم

تنقل لصفحة اخرى سوداء وتبقى على هذا الحال بلا تغيير

سامحنى يبدو ان الامر اصبح اسوأ من قبل

Al jNtEeL · 15 أغسطس 2008

فلسطينيـ قال:
بارك الله فيك اخى

سامحنى غلبتك اليووم طول النهار

لكن يبدو للاسف ما فى حل

الاعدادت صحيحة

واصبحت تاتى كما بالصورة الاولى

ولكن عند الضغط انتر للتبويت من السى دى روم

تنقل لصفحة اخرى سوداء وتبقى على هذا الحال بلا تغيير

سامحنى يبدو ان الامر اصبح اسوأ من قبل

والله امـر جهــازك عجيـب !!!!!!

فنحن لـم نعمل شيئا خاطئا اطـلاقا اطلاقا

حـاول لـعله يضبط معاك وجرب الدخول للسيف مود يدويا يعني عن طريـق F8

بنتظارك

فلسطينيـ · 15 أغسطس 2008

Al jNtEeL قال:
والله امـر جهــازك عجيـب !!!!!!

فنحن لـم نعمل شيئا خاطئا اطـلاقا اطلاقا

حـاول لـعله يضبط معاك وجرب الدخول للسيف مود يدويا يعني عن طريـق F8

بنتظارك

:er: سامحنى اعلم بأنى اثقلت عليك

ولكن هذا حال جهازى لا حول ولا قوة الا بالله

يارب عفوك

لا فائدة من السيف مود يدويا يعمل ريستارت للاسف

المشكلة بالامس فقط عملت فورمات ولكن مشكلة الفايروسات اللعينة هى السبب

الان لا يوجد حلول صحيح :no::er:

زيزوومى متألق

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق

زيزوومى فضى

توقيع : Al jNtEeL

زيزوومى متألق