ما هو MS-DOS Program ؟

  • بادئ الموضوع بادئ الموضوع الورد
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,973
ا

الورد

زيزوومي نشيط
إنضم
18 أبريل 2008
المشاركات
195
مستوى التفاعل
6
النقاط
230
غير متصل
الأعضاء الكرام

اليوم ظهر على سطح المكتب ثلاث ملفات بصورة فجائية !

باسم :

MS-DOS Program

و :

realsched



مع أني لم أحمل أي برنامج إطلاقا ولم أفعل أي شيء برمجي ، فقط تصفحت بعد المدونات

و ثمة مدونة كانت ثقيلة في التصفح .. المهم قبل أن أغلق الجهاز وجدت على سطح المكتب هذه الملفات

وهذه صورتها :



zyzoom-d642f8eeeb.jpg




1- كيف دخلت علي ؟
2 - هل هي خطيرة ؟
3 - كيف أزيلها ؟ لأني لم أجدها في خانة ( إضافة البرامج وإزالتها )


نفع الله بكم .
 

ترتيب حسب التاريخ ترتيب حسب الأصوات

اعمل تقرير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم


 
تأييد 0
شكرا لك أخي الكريم ، تفضل التقرير :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:41:59 ص, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Minefield\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\USER\Desktop\Zyzoom_HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Documents and Settings\USER\Desktop\خدمية\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TempClean.lnk = C:\Program Files\TempClean\TempClean.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: أضافة إلى مضاد الأعلان - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan ) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {38D6D77C-5EC1-4A4A-AFEB-85FE780CD61A} (FontDownloaderIE Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {B0067CA5-2C37-4C6B-AAEC-5E2CE8635061} (FontDown Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD555F4-7F3F-403D-890E-27102BEEADDC}: NameServer = 195.226.228.72 195.226.228.74
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5756 bytes
 
تأييد 0
المعذرة


حدد القيم واحذفها


O16 - DPF: {38D6D77C-5EC1-4A4A-AFEB-85FE780CD61A} (FontDownloaderIE Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي





O16 - DPF: {B0067CA5-2C37-4C6B-AAEC-5E2CE8635061} (FontDown Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي





O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD555F4-7F3F-403D-890E-27102BEEADDC}: NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي





طريقة الحذف

mg%20%283%29.png


mg%20%284%29.png

بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود

ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png




ثم اعمل التالي



اعدادات الكاسبر انترنت سيكرتي ( 7 )
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


z1.gif


شرح التركيب

000.png



001.png



002.png



003.png



بعد تركيب ملف الأعدادت ... اعمل فحص (( سكاان كاامل )) للجهاز



ثم قم بعمل التالي




==============
(1)
عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
(2)
واعمل تقرير للهايجاك
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم




لاهنت اعمل الخطوات بالترتيب ...

 
التعديل الأخير بواسطة المشرف:
توقيع : AbOdy
تأييد 0
لا شنت يا أستاذي

هذا أول تقرير :

ComboFix 08-08-27.05 - USER 08/28/2008 13:05:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.671 [GMT 3:00]
Running from: C:\Documents and Settings\USER\Desktop\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\kakle.dll
C:\WINDOWS\system32\winitn.dll

.
((((((((((((((((((((((((( Files Created from 2008-07-28 to 2008-08-28 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 10:13 63,386,656 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-28 10:12 --------- d-----w C:\Documents and Settings\USER\Application Data\Skype
2008-08-28 10:11 --------- d-----w C:\Documents and Settings\USER\Application Data\DMCache
2008-08-28 10:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-08-28 10:10 1,135,648 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-28 10:09 857,192 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-28 10:09 110,624 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-28 09:37 --------- d-----w C:\Program Files\Minefield
2008-08-28 09:33 --------- d-----w C:\Documents and Settings\USER\Application Data\CyberScrub
2008-08-28 09:33 --------- d-----w C:\Documents and Settings\USER\Application Data\cleaner
2008-08-28 00:37 --------- d-----w C:\Program Files\المكتبة الشاملة
2008-08-26 12:37 --------- d-----w C:\Program Files\Internet Download Manager
2008-08-25 20:35 --------- d-----w C:\Documents and Settings\USER\Application Data\IDM
2008-08-16 05:46 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-16 05:46 --------- d-----w C:\Program Files\TuneUp Utilities 2008
2008-08-15 06:12 --------- d-----w C:\Program Files\Zoom Player
2008-08-15 06:07 --------- d-----w C:\Program Files\RealMedia
2008-08-15 06:07 --------- d-----w C:\Program Files\OpenSource Flash Video Splitter
2008-08-15 06:07 --------- d-----w C:\Program Files\DScaler5
2008-08-15 06:07 --------- d-----w C:\Program Files\CD Audio Reader Filter
2008-08-15 06:06 --------- d-----w C:\Program Files\SHOUTcast Source
2008-08-15 06:06 --------- d-----w C:\Program Files\Haali
2008-08-15 06:06 --------- d-----w C:\Program Files\DSP-worx
2008-08-15 06:05 691,717 ----a-w C:\WINDOWS\system32\unins000.exe
2008-08-15 06:04 --------- d-----w C:\Program Files\DirectVobSub
2008-08-13 04:23 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-08-06 17:22 96,976 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-07-30 00:09 --------- d-----w C:\Program Files\Foxit Software
2008-07-26 01:26 87,855 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-07-23 13:55 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2008-07-23 13:52 --------- d-----w C:\Program Files\InCode Solutions
2008-07-23 13:16 97,784 ----a-w C:\Documents and Settings\USER\Application Data\GDIPFONTCACHEV1.DAT
2008-07-23 10:10 --------- d-----w C:\Documents and Settings\USER\Application Data\skypePM
2008-07-20 10:12 --------- d-----w C:\Program Files\Common Files\Skype
2008-07-18 03:21 --------- d-----w C:\Program Files\Unlocker
2008-07-12 01:45 --------- d-----w C:\Program Files\PhotoWatermark Professional 7
2008-07-09 14:34 206,256 ----a-w C:\WINDOWS\system32\idmmbc.dll
2008-06-11 20:06 98,304 ----a-w C:\WINDOWS\system32\viscomtran.dll
2008-06-08 01:15 203,776 ----a-w C:\WINDOWS\system32\clrviddc.dll
2008-06-08 01:05 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-06-07 20:37 81,920 ----a-w C:\Documents and Settings\USER\Application Data\ezpinst.exe
2008-06-07 20:37 47,360 ----a-w C:\Documents and Settings\USER\Application Data\pcouffin.sys
2008-05-29 06:28 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2008-04-29 21:04 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [08/16/2007 04:19 PM 5728112]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 12:56 AM 15360]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [08/25/2008 11:37 PM 2606512]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [06/08/2008 04:05 AM 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/04/2004 12:56 AM 15360]

C:\Documents and Settings\USER\Start Menu\Programs\Startup\
TempClean.lnk - C:\Program Files\TempClean\TempClean.exe [2008-04-29 18:01:16 356352]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 04/13/2006 11:09 AM 49152 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 08/16/2007 04:19 PM 5728112 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 07/09/2001 10:50 AM 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 12/07/2005 10:57 PM 30208 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--------- 06/08/2008 04:05 AM 185896 C:\Program Files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"diagnostics"="C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:en
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [08/04/2004 12:56 AM]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [04/04/2007 02:58 PM]
R3 ST330;ST330;C:\WINDOWS\system32\drivers\st330.sys [11/17/2005 04:17 PM]
R3 STBUS;STBUS;C:\WINDOWS\system32\drivers\stbus.sys [11/17/2005 04:17 PM]
R3 stppp;Speedtouch PPP Adapter Adapter;C:\WINDOWS\system32\DRIVERS\stppp.sys [04/29/2008 09:51 PM]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [08/16/2008 08:46 AM]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{071183ad-2118-11dd-a7a4-54484d000031}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{071183af-2118-11dd-a7a4-54484d000031}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Sys.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{afda6d22-6f8e-11dd-a857-54484d000031}]
\Shell\AutoRun\command - explorer .
\Shell\mobile\command - H:\MobileLaunch.exe
.
s of the 'Scheduled Tasks' folder

2008-08-28 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [06/20/2008 09:09 AM]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Skype - C:\Documents and Settings\USER\Desktop\خدمية\Skype.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\USER\Application Data\Mozilla\Firefox\Profiles\479xsza0.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/intl/ar/
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
FF -: plugin - C:\Program Files\Minefield\plugins\npnul32.dll
FF -: plugin - C:\Program Files\Minefield\plugins\nppl3260.dll
FF -: plugin - C:\Program Files\Minefield\plugins\nprjplug.dll
FF -: plugin - C:\Program Files\Minefield\plugins\nprpjplug.dll
FF -: plugin - C:\Program Files\Real\RhapsodyPlayerEngine\nprhapengine.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-08-28 13:11:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt\" --defaults-file=\"C:\Program Files\MySQL\MySQL Server 4.1\my.ini\" MySQL"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\st330service]
"ImagePath"="C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe -service"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 08/28/2008 13:16:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-28 10:15:57

Pre-Run: 21,142,016,000 bytes free
Post-Run: 21,069,459,456 bytes free

175
 
تأييد 0
وهذا تقرير _HijackThis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:43 م, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Minefield\firefox.exe
C:\Documents and Settings\USER\Desktop\Zyzoom_HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TempClean.lnk = C:\Program Files\TempClean\TempClean.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan ) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD555F4-7F3F-403D-890E-27102BEEADDC}: NameServer = 195.226.228.72 195.226.228.74
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5170 bytes
 
تأييد 0
مع العلم أخي الكريم أنه لما عمل رستارت خرج معي فورا هذه الصورة :

zyzoom-df61a8c42a.jpg

 
تأييد 0
حدد التالي واحذفه ::

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O17 - HKLM\System\CCS\Services\Tcpip\..\{BDD555F4-7F3F-403D-890E-27102BEEADDC}: NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




طريقة الحذف

9ofccez7zg03e2edjckj.png


ستظهر لك هذا النافذه : اضغط Yes

r2yz0bxm9ksfpd6fs507.png


بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود


ثم
حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

zyzoom-3d6517b067.png


zyzoom-7717063ed7.png


zyzoom-cda271da05.png


zyzoom-26888dbf15.png


zyzoom-3f4576c288.png


ثم قم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بـ انتظار تقرير الكاسبر​
 
توقيع : Al jNtEeL
تأييد 0
جزاك الله خيرا

لقد اتبعت تعليماتك حرفيا ، وهذا هو تقرير الكاسبر :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
هذا و أرجو منكم مشكورين - بعد قراءة التقرير - ( إن كان خاليا من الفايروسات ) إرشادي بأمر :

MS-DOS Program

و :

realsched

فإنها ما زالت على سطح المكتب ولم أحذفهما ، لكي أعرف الطريقة السليمة منكم في حذفها و الوقاية منها .
 
تأييد 0
هلا اخوي

ممكن ترفع الملف على هذا الرابط

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


و تعطينا النتيجه..
 
تأييد 0
تأييد 0
جهازك يالغلااا 100% ,,, نظيف من الفايروسات مشاء الله تباركـ الرحمن

الآن ماهي المشكله ؟؟؟
 
توقيع : Al jNtEeL
تأييد 0
أخوي

افحص الملفين المشكوكين

في هذا الرابط

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وعطنا النتيجه ^_^
 
تأييد 0
بشرك الله بالخير أخي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


المشكلة إنه ظهر على سطح المكتب ثلاث ملفات بصورة فجائية !

باسم :

MS-DOS Program

و :

realsched



مع أني لم أحمل أي برنامج إطلاقا ولم أفعل أي شيء برمجي ، فقط تصفحت بعد المدونات

و ثمة مدونة كانت ثقيلة في التصفح .. المهم قبل أن أغلق الجهاز وجدت على سطح المكتب هذه الملفات

وهذه صورتها :



zyzoom-d642f8eeeb.jpg



والآن فحصتها بالموقع الرهيب الي دلني عليه الأخ القبطان الصغير مشكورا وطلع معي باك دور وغيره !

فهل يعني أن المخترق الآن يستطيع سرقة أرقامي السرية ؟

سأضع النتيجة في الرد القادم كما هي :
 
تأييد 0
Antivirus
Version
Last Update
Result
AhnLab-V3​
2008.8.29.0​
2008.08.29​
Win-Trojan/Poison.6656.B
AntiVir​
7.8.1.23​
2008.08.29​
BDS/Poison.CPD
Authentium​
5.1.0.4​
2008.08.29​
-
Avast​
4.8.1195.0​
2008.08.29​
Win32:Agent-AAGI
AVG​
8.0.0.161​
2008.08.29​
BackDoor.PoisonIvy.AD
BitDefender​
7.2​
2008.08.29​
Trojan.Inject.GE
CAT-QuickHeal​
9.50​
2008.08.29​
Backdoor.Poison.kn
ClamAV​
0.93.1​
2008.08.29​
-
DrWeb​
4.44.0.09170​
2008.08.29​
BackDoor.Poison.55
eSafe​
7.0.17.0​
2008.08.28​
-
eTrust-Vet​
31.6.6055​
2008.08.29​
-
Ewido​
4.0​
2008.08.29​
-
F-Prot​
4.4.4.56​
2008.08.29​
W32/PoisonIvy.B.gen!Eldorado
F-Secure​
7.60.13501.0​
2008.08.29​
W32/PoisonIvy.gen22
Fortinet​
3.14.0.0​
2008.08.29​
W32/Poison.CPB!tr.bdr
GData​
19​
2008.08.29​
Win32:Agent-AAGI
Ikarus​
T3.1.1.34.0​
2008.08.29​
Virus.Win32.Poison.DE
K7AntiVirus​
7.10.431​
2008.08.29​
-
Kaspersky​
7.0.0.125​
2008.08.29​
-
McAfee​
5372​
2008.08.28​
-
Microsoft​
1.3807​
2008.08.25​
Backdoor:Win32/Poisonivy.E
NOD32v2​
3399​
2008.08.29​
-
Norman​
5.80.02​
2008.08.28​
W32/PoisonIvy.gen22
Panda​
9.0.0.4​
2008.08.29​
-
PCTools​
4.4.2.0​
2008.08.29​
Trojan.DL.CKSPost.Gen
Prevx1​
V2​
2008.08.29​
-
Rising​
20.59.41.00​
2008.08.29​
Backdoor.Win32.Poison.avh
Sophos​
4.33.0​
2008.08.29​
Mal/EncPk-CI
Sunbelt​
3.1.1592.1​
2008.08.29​
-
Symantec​
10​
2008.08.29​
Infostealer
TheHacker​
6.3.0.6.064​
2008.08.27​
-
TrendMicro​
8.700.0.1004​
2008.08.29​
BKDR_POISON.DS
VBA32​
3.12.8.4​
2008.08.29​
-
ViRobot​
2008.8.29.1355​
2008.08.29​
-
VirusBuster​
4.5.11.0​
2008.08.29​
Trojan.DL.CKSPost.Gen
Webwasher-Gateway​
6.6.2​
2008.08.29​
Trojan.Backdoor.Poison.CPD
 
تأييد 0
ما سبق نتيجة MS-DOS Program

و النتيجة التالية تخص :

realsched
 
تأييد 0
Antivirus
Version
Last Update
Result
AhnLab-V3​
2008.8.29.0​
2008.08.29​
Win-Trojan/Poison.6656.B
AntiVir​
7.8.1.23​
2008.08.29​
BDS/Poison.CPD
Authentium​
5.1.0.4​
2008.08.29​
-
Avast​
4.8.1195.0​
2008.08.29​
Win32:Agent-AAGI
AVG​
8.0.0.161​
2008.08.29​
BackDoor.PoisonIvy.AD
BitDefender​
7.2​
2008.08.29​
Trojan.Inject.GE
CAT-QuickHeal​
9.50​
2008.08.29​
Backdoor.Poison.kn
ClamAV​
0.93.1​
2008.08.29​
-
DrWeb​
4.44.0.09170​
2008.08.29​
BackDoor.Poison.55
eSafe​
7.0.17.0​
2008.08.28​
-
eTrust-Vet​
31.6.6056​
2008.08.29​
-
Ewido​
4.0​
2008.08.29​
-
F-Prot​
4.4.4.56​
2008.08.29​
W32/PoisonIvy.B.gen!Eldorado
F-Secure​
7.60.13501.0​
2008.08.29​
W32/PoisonIvy.gen22
Fortinet​
3.14.0.0​
2008.08.29​
W32/Poison.CPB!tr.bdr
GData​
19​
2008.08.29​
Win32:Agent-AAGI
Ikarus​
T3.1.1.34.0​
2008.08.29​
Virus.Win32.Poison.DE
K7AntiVirus​
7.10.431​
2008.08.29​
Backdoor.Win32.Poison.dab
Kaspersky​
7.0.0.125​
2008.08.29​
-
McAfee​
5372​
2008.08.28​
BackDoor-DKI.gen.d
Microsoft​
1.3807​
2008.08.25​
Backdoor:Win32/Poisonivy.E
NOD32v2​
3399​
2008.08.29​
-
Norman​
5.80.02​
2008.08.28​
W32/PoisonIvy.gen22
Panda​
9.0.0.4​
2008.08.29​
-
PCTools​
4.4.2.0​
2008.08.29​
Trojan.DL.CKSPost.Gen
Prevx1​
V2​
2008.08.29​
Malware Downloader
Rising​
20.59.41.00​
2008.08.29​
Backdoor.Win32.Poison.avh
Sophos​
4.33.0​
2008.08.29​
Mal/EncPk-CI
Sunbelt​
3.1.1592.1​
2008.08.29​
-
Symantec​
10​
2008.08.29​
Infostealer
TheHacker​
6.3.0.6.064​
2008.08.27​
-
TrendMicro​
8.700.0.1004​
2008.08.29​
BKDR_POISON.DS
VBA32​
3.12.8.4​
2008.08.29​
-
ViRobot​
2008.8.29.1355​
2008.08.29​
-
VirusBuster​
4.5.11.0​
2008.08.29​
Trojan.DL.CKSPost.Gen
Webwasher-Gateway​
6.6.2​
2008.08.29​
Trojan.Backdoor.Poison.CPD
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى