هايجاك
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:39:56 ص, on 10/06/12
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Windows\explorer.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKCU\..\Run: [Device Doctor] C:\Program Files\Device Doctor\DDLauncher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
--
End of file - 2180 bytes
البرامـج
====== معلومات نظام التشغيل ======
X86 WIN_7 7601 Service Pack 1
====== قائمة البرامج المثبتة ======
Adobe Flash Player 11 ActiveX
Device Doctor v2.1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile ARA Language Pack
Microsoft Security Client
Microsoft Security Essentials
Microsoft Silverlight
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
حزمة اللغة العربية لـ Microsoft .NET Framework 4
====== سجل أخطاء النظام ======
Computer Name: 37L4247F27-08
Event Code: 7036
Message: دخلت الخدمة Plug and Play في حالة stopped.
Record Number: 5
Source Name: Service Control Manager
Time Written: 20101120215742.697406-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 20010
Message: قام واحد أو أكثر من الأنظمة الفرعية الخاصة بأجهزة "التوصيل والتشغيل" بتغيير الحالة.
تم تمكين النظام الفرعي لتثبيت PlugPlay: 'false'
تم تمكين النظام الفرعي للتخزين المؤقت لـ PlugPlay: 'false'
Record Number: 4
Source Name: Microsoft-Windows-UserPnp
Time Written: 20101120215742.697406-000
Event Type: معلومات
User: NT AUTHORITY\SYSTEM
Computer Name: 37L4247F27-08
Event Code: 7036
Message: دخلت الخدمة Software Protection في حالة stopped.
Record Number: 3
Source Name: Service Control Manager
Time Written: 20101120215742.479005-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 7036
Message: دخلت الخدمة Windows Event Log في حالة stopped.
Record Number: 2
Source Name: Service Control Manager
Time Written: 20101120215742.338605-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 7036
Message: دخلت الخدمة Volume Shadow Copy في حالة stopped.
Record Number: 1
Source Name: Service Control Manager
Time Written: 20101120215742.323005-000
Event Type: معلومات
User:
===== سجل أخطاء البرامج =====
Computer Name: 37L4247F27-08
Event Code: 1001
Message: المستودع الذي يحتوي على أخطاء , النوع 0
اسم الحدث: PnPDriverNotFound
الاستجابة: غير متوفر
معرف ملف الخزانة: 0
توقيع المشكلة:
P1: x86
P2: ACPI\TOS1900
P3:
P4:
P5:
P6:
P7:
P8:
P9:
P10:
الملفات المرفقة:
C:\Windows\Temp\DMID87.tmp.log.xml
قد تكون هذه الملفات متوفرة هنا:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_x86_c422342a665bcc40f62e44552cabf171995813c_cab_06b50df4
رمز التحليل:
إعادة البحث عن حل: 0
معرف التقرير: 314285bf-b2aa-11e1-ad60-b020019884fa
حالة التقرير: 6
Record Number: 5
Source Name: Windows Error Reporting
Time Written: 20120610031304.000000-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 5617
Message: Windows Management Instrumentation Service subsystems initialized successfully
Record Number: 4
Source Name: Microsoft-Windows-WMI
Time Written: 20120610031303.000000-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 5615
Message: Windows Management Instrumentation Service started sucessfully
Record Number: 3
Source Name: Microsoft-Windows-WMI
Time Written: 20120610031300.000000-000
Event Type: معلومات
User:
Computer Name: 37L4247F27-08
Event Code: 1531
Message: بدأ تشغيل خدمة ملف تعريف المستخدم بنجاح.
Record Number: 2
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20120610031256.826904-000
Event Type: معلومات
User: NT AUTHORITY\SYSTEM
Computer Name: 37L4247F27-08
Event Code: 4625
Message: يمنع النظام الفرعي EventSystem إدخالات سجل الأحداث المتكررة لمدة 86400 ثانية. يمكن التحكم في مهلة المنع بواسطة قيمة REG_DWORD تسمى SuppressDuplicateDuration تحت مفتاح التسجيل التالي: HKLM\Software\Microsoft\EventSystem\EventLog.
Record Number: 1
Source Name: Microsoft-Windows-EventSystem
Time Written: 20120610031256.000000-000
Event Type: معلومات
User:
===== السجل الأمني =====
Computer Name: 37L4247F27-08
Event Code: 4672
Message: تم تخصيص امتيازات خاصة لتسجيل الدخول الجديد.
العنوان:
معرّف الأمان: S-1-5-18
اسم الحساب: SYSTEM
مجال الحساب: NT AUTHORITY
معرّف تسجيل الدخول: 0x3e7
الامتيازات: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120610031238.606072-000
Event Type: تدقيق النجاح
User:
Computer Name: 37L4247F27-08
Event Code: 4624
Message: تم تسجيل دخول حساب بنجاح.
العنوان:
معرّف الأمان: S-1-5-18
اسم الحساب: 37L4247F27-08$
مجال الحساب: WORKGROUP
معرّف تسجيل الدخول: 0x3e7
نوع تسجيل الدخول: 5
تسجيل الدخول الجديد:
معرّف الأمان: S-1-5-18
اسم الحساب: SYSTEM
مجال الحساب: NT AUTHORITY
معرّف تسجيل الدخول: 0x3e7
المعرّف الفريد العمومي لتسجيل الدخول: {00000000-0000-0000-0000-000000000000}
معلومات العملية:
معرّف العملية: 0x1d0
اسم العملية: C:\Windows\System32\services.exe
معلومات الشبكة:
اسم محطة العمل:
عنوان الشبكة المصدر: -
المنفذ المصدر: -
معلومات المصادقة المفصّلة:
عملية تسجيل الدخول: Advapi
حزمة المصادقة: Negotiate
الخدمات المنقولة: -
اسم الحزمة (NTLM فقط): -
طول المفتاح: 0
يتم تكوين هذا الحدث عند إنشاء جلسة عمل تسجيل دخول، كما يتم تكوينه على الكمبيوتر الذي تم الوصول إليه.
تشير حقول العناوين إلى حساب النظام المحلي الذي طالب بتسجيل الدخول. هذه عبارة عن خدمة بشكل عام (مثل خدمة "الخادم"، أو خدمة محلية مثل Winlogon.exe أو Services.exe).
يشير الحقل "نوع تسجيل الدخول" إلى نوع تسجيل الدخول الذي تم إجراؤه. أكثر أنواع تسجيل الدخول استخداماً هي 2 (محلي) و 3 (شبكة).
تشير حقول "تسجيل الدخول الجديد" إلى الحساب الذي تم إنشاء تسجيل الدخول له( الحساب الذي تم تسجيل الدخول إليه).
تشير حقول الشبكة إلى موقع تكوين طلب تسجيل دخول عن بُعد. لا يتوفر اسم محطة العمل دائماً وقد يُترك فارغاً في بعض الحالات.
توفر حقول معلومات المصادقة معلومات مفصّلة حول طلب تسجيل الدخول المحدد هذا.
- "معرّف تسجيل الدخول العمومي" عبارة عن معرّف فريد يمكن استخدامه للربط بين هذا الحدوث وحدث KDC.
- تشير "الخدمات المنقولة" إلى الخدمات الوسيطة التي شاركت في طلب تسجيل الدخول هذا.
- يشير "اسم الحزمة" إلى البروتوكول الثانوي الذي تم استخدامه من بين بروتوكولات NTLM.
- يشير "طول المفتاح" إلى طول مفتاح جلسة العمل الذي تم تكوينه. سيكون طول المفتاح 0 عند عدم طلب أية مفاتيح جلسات عمل.
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120610031238.606072-000
Event Type: تدقيق النجاح
User:
Computer Name: 37L4247F27-08
Event Code: 4902
Message: تم إنشاء جدول نهج التدقيق لكل مستخدم.
عدد العناصر: 0
معرّف النهج: 0x496bc
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120610031230.821658-000
Event Type: تدقيق النجاح
User:
Computer Name: 37L4247F27-08
Event Code: 4624
Message: تم تسجيل دخول حساب بنجاح.
العنوان:
معرّف الأمان: S-1-0-0
اسم الحساب: -
مجال الحساب: -
معرّف تسجيل الدخول: 0x0
نوع تسجيل الدخول: 0
تسجيل الدخول الجديد:
معرّف الأمان: S-1-5-18
اسم الحساب: SYSTEM
مجال الحساب: NT AUTHORITY
معرّف تسجيل الدخول: 0x3e7
المعرّف الفريد العمومي لتسجيل الدخول: {00000000-0000-0000-0000-000000000000}
معلومات العملية:
معرّف العملية: 0x4
اسم العملية:
معلومات الشبكة:
اسم محطة العمل: -
عنوان الشبكة المصدر: -
المنفذ المصدر: -
معلومات المصادقة المفصّلة:
عملية تسجيل الدخول: -
حزمة المصادقة: -
الخدمات المنقولة: -
اسم الحزمة (NTLM فقط): -
طول المفتاح: 0
يتم تكوين هذا الحدث عند إنشاء جلسة عمل تسجيل دخول، كما يتم تكوينه على الكمبيوتر الذي تم الوصول إليه.
تشير حقول العناوين إلى حساب النظام المحلي الذي طالب بتسجيل الدخول. هذه عبارة عن خدمة بشكل عام (مثل خدمة "الخادم"، أو خدمة محلية مثل Winlogon.exe أو Services.exe).
يشير الحقل "نوع تسجيل الدخول" إلى نوع تسجيل الدخول الذي تم إجراؤه. أكثر أنواع تسجيل الدخول استخداماً هي 2 (محلي) و 3 (شبكة).
تشير حقول "تسجيل الدخول الجديد" إلى الحساب الذي تم إنشاء تسجيل الدخول له( الحساب الذي تم تسجيل الدخول إليه).
تشير حقول الشبكة إلى موقع تكوين طلب تسجيل دخول عن بُعد. لا يتوفر اسم محطة العمل دائماً وقد يُترك فارغاً في بعض الحالات.
توفر حقول معلومات المصادقة معلومات مفصّلة حول طلب تسجيل الدخول المحدد هذا.
- "معرّف تسجيل الدخول العمومي" عبارة عن معرّف فريد يمكن استخدامه للربط بين هذا الحدوث وحدث KDC.
- تشير "الخدمات المنقولة" إلى الخدمات الوسيطة التي شاركت في طلب تسجيل الدخول هذا.
- يشير "اسم الحزمة" إلى البروتوكول الثانوي الذي تم استخدامه من بين بروتوكولات NTLM.
- يشير "طول المفتاح" إلى طول مفتاح جلسة العمل الذي تم تكوينه. سيكون طول المفتاح 0 عند عدم طلب أية مفاتيح جلسات عمل.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120610031229.043255-000
Event Type: تدقيق النجاح
User:
Computer Name: 37L4247F27-08
Event Code: 4608
Message: يتم الآن بدء تشغيل Windows.
يتم تسجيل هذا الحدث عند بدء تشغيل LSASS.EXE وتهيئة نظام التدقيق.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120610031228.949655-000
Event Type: تدقيق النجاح
User:
===== تقرير انهيار البرامج =====
==================================================
Process File : WerFault.exe
Event Name : إيقاف التشغيل بشكل غير متوقع
Event Time : 20/07/33 09:16:56 ص
User Name : Khaled
Exception Code :
Exception Offset :
Fault Module Name :
Fault Module Version:
Process Path : C:\Windows\System32\WerFault.exe
Report File Size : 3,370
Report File Path : C:\Users\Khaled\AppData\Local\Microsoft\Windows\WER\ReportArchive\Kernel_0_0_cab_074beacb\Report.wer
==================================================
===== تقرير الشاشة الزرقاء =====
==================================================
Dump File : 061012-18751-01.dmp
Crash Time : 20/07/33 09:16:26 ص
Bug Check String : BAD_POOL_CALLER
Bug Check Code : 0x000000c2
Parameter 1 : 0x00000007
Parameter 2 : 0x0000109b
Parameter 3 : 0x807e1bc4
Parameter 4 : 0x807e1ba4
Caused By Driver : ndis.sys
Caused By Address : ndis.sys+56553
File Description : برنامج التشغيل NDIS 6.20
Product Name : Microsoft® Windows® Operating System
Company : Microsoft Corporation
File Version : 6.1.7600.16385 (win7_rtm.090713-1255)
Processor : 32-bit
Computer Name :
Full Path : C:\Windows\Minidump\061012-18751-01.dmp
Processors Count : 4
Major Version : 15
Minor Version : 7601
Dump File Size : 143,376
==================================================
runscanner
