ranzy

زيزوومي جديد
إنضم
22 يناير 2008
المشاركات
48
مستوى التفاعل
0
النقاط
40
الإقامة
morocco
غير متصل
صباح الخير

بليز من يومين صار هالمسج يطلع لي ومابعرف شو الحل

هيدي الصور بعتذر حطيت رابط مباشر لأنه الطريقة الأخرى ماظهرت لي الصور

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي





يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



الله يجازيكم بالخير
 

اهلاً وسهلاً بك بمنتديات زيزووم للأمن والحماية
عذراً بتعديل عنوان الموضوع لينم عن فحواه
بالتوفيق أخوي ,,
 
مرحبا اخي
مشكور على تعديل العنوان
انا عملت تقرير بالهايجاك ديس وشلنا بعض المتجسسات بنا على التقرير بس في ملف ما بنعرف شو لازم نعمل له

وهو winlogon.exe

Coolman Zeb Help Process v2.2 - Rapport détaillé du 09/09/2008 14:53:33
Image36.gif
Logfile of HijackThis v1.99.1

Trend Secure HijackThis
Ce processus est installé par l'utilisateur pour l'analyse de son système et la recherche de malware.
Dossier d'installation :
Dépend de l'utilisateur
Image36.gif
Platform: Windows XP SP1 (WinNT 5.01.2600)

Image36.gif
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Microsoft Internet Explorer
Ce processus est installé par le logiciel de navigation "Internet Explorer" de "Microsoft".
Dossier d'installation :
C:\Program Files\Internet Explorer\iexplore.exe
Image37.gif
C:\WINDOWS\System32\smss.exe

Microsoft Windows NT
Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "Session Management Subsystem". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC"
Dossier d'installation :
C:\WINDOWS\System32\smss.exe
Image37.gif
C:\WINDOWS\system32\winlogon.exe

Microsoft Windows NT
Il s'agit d'un processus générique légitime de Windows NT. Plus précisément il se nomme "Ouverture de session NT". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC"
Dossier d'installation :
C:\WINDOWS\system32\winlogon.exe
Image37.gif
C:\WINDOWS\system32\services.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Applications Services et Contrôleur". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".
Dossier d'installation :
C:\WINDOWS\system32\services.exe
Image37.gif
C:\WINDOWS\system32\lsass.exe

Microsoft Windows NT
C'est le processus générique "Local Security Authority Subsystem" de Windows NT. Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\lsass.exe
Image37.gif
C:\WINDOWS\system32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\WINDOWS\System32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\Program Files\Ahead\InCD\InCDsrv.exe

Image37.gif
C:\WINDOWS\system32\spoolsv.exe

Microsoft Windows NT
Plus précisément il se nomme "Spooler SubSystem". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".
Dossier d'installation :
C:\WINDOWS\system32\spoolsv.exe
Image37.gif
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

Avira AntiVir PersonalEdition Classic
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition {version}\sched.exe
Notation dans le rapport :
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
Référence dans la Base de Registres :
HKLM\SYSTEM\CurrentControlSet\Services\AntiVirScheduler
Image37.gif
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

Avira AntiVir PersonalEdition Classic
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
Notation dans le rapport :
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH
Référence dans la Base de Registres :
HKLM\SYSTEM\CurrentControlSet\Services\AntiVirService
Image38.gif
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Grisoft AVG AntiSpyware
Dossier d'installation :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Notation dans le rapport :
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s.
Référence dans la Base de Registres :
C:\Program Files\GizmoPlugin\GizmoPlugin.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image37.gif
C:\WINDOWS\system32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

Microsoft Developer Studio
Machine Debug Manager. Il est utilisé par les developpeurs pour le debugging des applications
Dossier d'installation :
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE
Notation dans le rapport :
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Machine Debug Manager
Image37.gif
C:\WINDOWS\System32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\WINDOWS\System32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\WINDOWS\System32\svchost.exe

Microsoft Windows NT
Il s'agit d'un processus générique de Windows NT. Plus précisément il se nomme "Generic Host Process for Win32". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC". De part ses fonctions, il est souvent la cible de nombreux trojans et vers.
Dossier d'installation :
C:\WINDOWS\system32\svchost.exe
Image37.gif
C:\WINDOWS\Explorer.EXE

Microsoft Windows NT
Il s'agit d'un processus générique de Windows XP. Plus précisément il se nomme "Explorateur". Dans le cas où il serait infecté par un malware, procéder à son remplacement par une copie saine à l'aide du Vérificateur de Fichiers "SFC".
Dossier d'installation :
C:\WINDOWS\Explorer.EXE
Image37.gif
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

Avira AntiVir PersonalEdition Classic
Ce processus est installé par l'antivirus Antivir.
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AVPersonal\AVGNT.EXE
Notation dans le rapport :
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avgnt
Image37.gif
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

Real Networks Real Player
Dossier d'installation :
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
Notation dans le rapport :
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot"
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TkBellExe
Image37.gif
C:\Program Files\QuickTime\qttask.exe

Apple Quick Time
Plus précisément il se nomme "Tray IcoN" ou "QuickTime Task"
Dossier d'installation :
C:\Program Files\QuickTime\qttask.exe
Notation dans le rapport :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime"
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QuickTime Task
C:\windows\temp\Actfile.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image39.gif
C:\Documents and settings\svchost.exe

Malware : Infection Diverse

Image37.gif
C:\Program Files\MSN Messenger\msnmsgr.exe

Microsoft MSN Messenger
Il correspond au client de messagerie instantanée MSN Messenger.
Dossier d'installation :
C:\Program Files\MSN Messenger\MsnMsgr.Exe
Notation dans le rapport :
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MsnMsgr
Image37.gif
C:\Program Files\Menara\dslmon.exe

Sagem/Huawei Modem Fast 800-840
Dossier d'installation :
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\Program Files\Menara\dslmon.exe
Notation dans le rapport :
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe"


Image37.gif
C:\Program Files\Messenger\msmsgs.exe

Microsoft MSN Messenger
Dossier d'installation :
C:\Program Files\Messenger\MSMSGS.EXE
c:\PROGRA~1\MESSEN~1\Msmsgs.exe
Notation dans le rapport :
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
Référence dans la Base de Registres :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSMSGS
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image37.gif
C:\Program Files\MSN Messenger\usnsvc.exe

Microsoft MSN Messenger
Dossier d'installation :
C:\Program Files\MSN Messenger\usnsvc.exe

Image39.gif
C:\Windows\winlogon.exe

Malware : Infection MSN

Image37.gif
C:\hijackthis\HijackThis.exe

Trend Secure HijackThis
Ce processus est installé par l'utilisateur pour l'analyse de son système et la recherche de malware.
Dossier d'installation :
Dépend de l'utilisateur
Image37.gif
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Image37.gif
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Image37.gif
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Image37.gif
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

Image37.gif
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

HP Smart Web Printing
hpswp_printenhancer.dll
Browser Helper Objet

Image37.gif
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

HP Smart Web Printing
hpswp_framework.dll
Browser Helper Objet

Image37.gif
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

Adobe - Acrobat reader
AcroIEhelper.ocx, AcroIEhelper.dll
Browser Helper Objet

Image37.gif
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

Real Player
rpbrowserrecordplugin.dll
Browser Helper Objet

Image37.gif
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

SpyBot Search&Destroy
SDhelper.dll
Browser Helper Objet

Image37.gif
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Internet Explorer Radio Bar
MSDXM.OCX
Barre d'outils de navigateur Internet.

Image37.gif
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

Avira AntiVir PersonalEdition Classic
Ce processus est installé par l'antivirus Antivir.
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AVPersonal\AVGNT.EXE
Notation dans le rapport :
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avgnt
Image40.gif
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

Real Networks Real Player
Dossier d'installation :
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
Notation dans le rapport :
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot"
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TkBellExe
Image40.gif
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Image40.gif
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Apple Quick Time
Plus précisément il se nomme "Tray IcoN" ou "QuickTime Task"
Dossier d'installation :
C:\Program Files\QuickTime\qttask.exe
Notation dans le rapport :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime"
Référence dans la Base de Registres :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QuickTime Task
O4 - HKLM\..\Run: [Actfile] C:\windows\temp\Actfile.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
O4 - HKLM\..\Run: [svchost] C:\Documents and settings\svchost.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image39.gif
O4 - HKLM\..\Run: [winlogon] C:\Windows\winlogon.exe

Malware : Infection SD

Image40.gif
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

Microsoft Network Messenger
Il correspond au client de messagerie instantanée MSN Messenger.
Dossier d'installation :
C:\Program Files\MSN Messenger\msnmsgr.exe
Notation dans le rapport :
O4 - HKCU\..\Run: [msnmsgr] "msnmsgr.exe" /background
Référence dans la Base de Registres :
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MsnMsgr
Image37.gif
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe

Sagem/Huawei Modem Fast 800-840
Dossier d'installation :
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\Program Files\Menara\dslmon.exe
Notation dans le rapport :
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe"


Image37.gif
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201

Orbitdownloader.com Orbit Download

Image37.gif
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204

Orbitdownloader.com Orbit Download

Image37.gif
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

Microsoft - Office

Image37.gif
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Microsoft - Office

Image37.gif
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

HP Smart Web Printing
hpswp_extensions.dll
Boutons additionnels de la barre d'outils principale d'IE

Image37.gif
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

HP Smart Web Printing
hpswp_extensions.dll
Boutons additionnels de la barre d'outils principale d'IE

Image37.gif
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

Microsoft - Windows Messenger
MSMSGS.EXE, wanadoo messager.exe
Boutons additionnels de la barre d'outils principale d'IE

Image37.gif
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

Microsoft - Windows Messenger
MSMSGS.EXE, wanadoo messager.exe
Boutons additionnels de la barre d'outils principale d'IE

O12 - Plugin for pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image37.gif
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan ) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Kaspersky Online Scanner
kavwebscan_un icode.cab
Objets ActiveX (Downloaded Program Files)

O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image37.gif
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Microsoft - WGA
Objets ActiveX (Downloaded Program Files)

Image37.gif
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll

Yahoo!
yinsthelper.dll
Objets ActiveX (Downloaded Program Files)

Image37.gif
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


facebook.com
FacebookPhotoU ploader.cab
Objets ActiveX (Downloaded Program Files)

Image37.gif
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Image37.gif
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Symantec
cabsa.cab
Objets ActiveX (Downloaded Program Files)

Image37.gif
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Lycos File Upload
ileUploader.cab
Objets ActiveX (Downloaded Program Files)

Image37.gif
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACF8882-929F-4DDB-9BDF-5C051EDE29E5}: NameServer = 196.217.246.210 212.217.0.13

Image37.gif
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

Microsoft MSN Messenger
msgrapp.dll, msgrap~1.dll, msgrapp.*.dll
Pirates de protocole et de protocoles additionnels.

Image37.gif
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

Microsoft MSN Messenger
msgrapp.dll, msgrap~1.dll, msgrapp.*.dll
Pirates de protocole et de protocoles additionnels.

Image37.gif
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

Image38.gif
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

Avira AntiVir PersonalEdition Classic
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition {version}\sched.exe
Notation dans le rapport :
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
Référence dans la Base de Registres :
HKLM\SYSTEM\CurrentControlSet\Services\AntiVirScheduler
Image38.gif
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

Avira AntiVir PersonalEdition Classic
Dossier d'installation :
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
Notation dans le rapport :
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH
Référence dans la Base de Registres :
HKLM\SYSTEM\CurrentControlSet\Services\AntiVirService
Image37.gif
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

Ares Development Group Chat Server
Plus précisément il se nomme "AresChatServer" ou "Ares Chatroom server"
Dossier d'installation :
C:\Program Files\Ares\chatServer.exe
Notation dans le rapport :
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group
Référence dans la Base de Registres :
HKLM\SYSTEM\CurrentControlSet\Services\AresChatServer\Ares Chatroom server
Image38.gif
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Grisoft AVG AntiSpyware
Dossier d'installation :
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
Notation dans le rapport :
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s.
Référence dans la Base de Registres :
O23 - Service: Gizmo VoIP Service (Gizmo Plugin) - SIPphone, Inc. - C:\Program Files\GizmoPlugin\GizmoPlugin.exe
*** Aucune information disponible ou le répertoire d'installation n'est pas celui par défaut ***
Image37.gif
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

Macrovision InstallShield
Dossier d'installation :
C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Notation dans le rapport :
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
Référence dans la Base de Registres :
Image37.gif
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

Ahead Software InCD
Plus précisément il se nomme "InCD Helper " ou "InCDsrv". Il s'installe en tant que service afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".
Dossier d'installation :
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
Notation dans le rapport :
O23 - Service: InCD Helper (InCDsrv) - Nero AG - InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Unknown owner
Référence dans la Base de Registres :

Image37.gif
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

Ahead Software InCD
Plus précisément il se nomme "InCD Helper (read only)" ou "InCDsrvR"
Dossier d'installation :
C:\Program Files\Ahead\InCD\InCDsrv.exe
Notation dans le rapport :
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG
Référence dans la Base de Registres :
Image37.gif
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

Macromedia Dreamweaver
Ce processus est aussi ajouté par "Flash" de "Macromedia"
Dossier d'installation :
C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia
Notation dans le rapport :
O23 - Service: Macromedia Licensing Service - Macromedia Licensing.exe
Référence dans la Base de Registres :






احنا شلنا بعض الأشيا الي اتضح انا متجسسات
تاني شي بدي اعرف ا
 
والله ماعرف فرنسى

بس ترجميلنا وحنا نساعدك

zyzoom-88649c5b3e.jpg



واعمل الاتى


عطل برامج الحمايه
حمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
--------------------------------------------
( 2 )
واعمل تقرير للهايجاك

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم​
 
مرحبا كونج شكرا على المساعدة

المسج الي في الصورة بيقول انه مو قادر يفتح المسار .......

هيدا تقرير الهايجاك لأنه combo fix الي حملت من فتره مارضي يشتغل
Logfile of HijackThis v1.99.1
Scan saved at 16:32:00, on 09/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\GizmoPlugin\GizmoPlugin.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Actfile] C:\windows\temp\Actfile.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan ) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACF8882-929F-4DDB-9BDF-5C051EDE29E5}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Gizmo VoIP Service (Gizmo Plugin) - SIPphone, Inc. - C:\Program Files\GizmoPlugin\GizmoPlugin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe


كمان في مسج بيطلع مكتوب انه Actfile.exe عم يلاقي صعوبات ولازم يغلق
شكرا والله يبارك فيكم
 
حدد التالي واحذفيه

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Actfile] C:\windows\temp\Actfile.exe


طريقة الحذف

mg%20(3).png


mg%20(4).png


بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود

ثم نزل هذه الاداة واتبع الشرح التالي


يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
دبل كلك على الاداة واصبر حتى تنتهي جميع النوافذ وتقف عند هذه النافذة

002.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

واداة الكومبو فيكس استخدمها بالوضع الامن
 
بارك الله فيك اخي ماكس جاري تطبيق الخطوات
 
مرحبا اريد ان اعرف هل المجلد التالي QooBox خاص ببرنامج combofix

وماهي هذه الملفات

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 
احذفيه هذا المجلد
وكيف الاوضاع عندك ؟
 
مرحبا ماكس
الأوضاع منيحة على ما اعتقد . الرسائل الي كانت تظهر ماعادت تطلع وانا حذفت المجلد والأن عم اعمل سكان للجهاز وطللع لي تحذيرين حطيتن في الكرانتين وهيدي صورن

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي




امبارح لما عملت تقرير بالهيجاك كان طلع لي بعض المتجسسات وحذفت مثل
C:\Documents and settings\svchost.exe
Malware : Infection Diverse

Image39.gif
C:\Windows\winlogon.exe
Malware : Infection MSN

O4 - HKLM\..\Run: [winlogon] C:\Windows\winlogon.exe
Malware : Infection SD

وعملنا سكان ببرنامج arovax antispy وطلع لنا ملف winlogon.exe وحذفناه

هل في شي تاني لازم اعمل خاصة انه مابعرف المالوير الي شلناهم هل بيكونو اذو ملفات الكمبيوتر او لا:?:

شكرااااااا كثير على مساعدتكم انا والله يجعل عملكم في ميزان حسانتكم ورمضان مبارك:smile:
 
اولا عندك فيروس الاوتو رن

ثانيا الكامبو فكس مااشتغل لانه محجوب من برنامج الحمايه الى عندك

نزلى اداة الكامبو فكس مره ثانيه واطفئ برنامج الحمايه الذى لديك

واستخدميه لازالة الفيروسات الى عندك

وعملى تقلرير هيجاك جديد​
 
مساء الخير ماكس
فيروس اوتورن:eek:
اوكي رح نزل البرنامج ورح نطبق الخطوات بكره انشاء الله
بارك الله فيك:smile:
 
رحبا هيدا تقرير combofix

ComboFix 08-09-05.14 - Computer 2008-09-11 16:29:15.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.55 [GMT 0:00]
Endroit: C:\Documents and Settings\Malika\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
((((((((((((((((((((((((((((( Fichiers créés 2008-08-11 to 2008-09-11 ))))))))))))))))))))))))))))))))))))
.
2008-09-10 21:39 . 2008-09-10 21:39 <REP> d-------- C:\Program Files\Google
2008-09-10 00:55 . 2008-09-10 01:01 <REP> d-------- C:\Program Files\AV Music Morpher Gold
2008-09-10 00:44 . 2008-09-10 00:45 <REP> d-------- C:\Program Files\AV Vcs 6.0
2008-09-09 20:50 . 2008-09-10 22:01 <REP> d-------- C:\Documents and Settings\Malika\amsn
2008-09-09 20:46 . 2008-09-09 20:48 <REP> d-------- C:\Program Files\aMSN
2008-09-09 00:52 . 2008-09-09 00:52 <REP> d-------- C:\Program Files\CCleaner
2008-09-09 00:42 . 2008-09-09 00:43 <REP> d-------- C:\Program Files\VirtualDJ
2008-09-08 21:32 . 2008-09-08 21:32 <REP> d-------- C:\TEMP\76537403
2008-09-08 21:32 . 2008-09-08 21:38 <REP> d-------- C:\Documents and Settings\Malika\DSS DJ Data
2008-09-08 21:31 . 2008-09-08 21:31 <REP> d-------- C:\Program Files\MyXOFT
2008-09-08 21:31 . 2006-12-01 22:03 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-09-08 21:31 . 2006-12-01 22:03 548,864 --a------ C:\WINDOWS\system32\msvcp80.dll
2008-09-08 21:31 . 2006-12-02 06:22 479,232 --a------ C:\WINDOWS\system32\msvcm80.dll
2008-09-08 21:31 . 2006-12-01 22:03 1,869 --a------ C:\WINDOWS\system32\Microsoft.VC80.CRT.manifest
2008-09-07 21:28 . 2008-09-07 21:28 <REP> d-------- C:\Program Files\LuckyTender
2008-09-06 17:30 . 2008-09-06 18:04 <REP> d-------- C:\Program Files\PConPoint
2008-09-06 00:38 . 2008-09-06 00:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage
2008-09-03 14:31 . 2008-09-03 21:45 <REP> d-------- C:\Documents and Settings\Malika\Application Data\Auslogics
2008-09-03 14:09 . 2008-09-03 14:09 <REP> d-------- C:\Program Files\Auslogics
2008-09-03 13:13 . 2008-09-03 13:13 <REP> d-------- C:\Documents and Settings\Malika\Application Data\PortableTurk.com
2008-08-26 11:20 . 2008-08-26 11:20 <REP> dr-hs---- C:\WINDOWS\system32\Winlog.exe
2008-08-26 11:20 . 2008-08-26 11:20 <REP> dr-hs---- C:\WINDOWS\system32\wdmfmc32.dll
2008-08-26 11:20 . 2008-08-26 11:20 <REP> dr-hs---- C:\WINDOWS\system32\vcmgcd32.dll
2008-08-26 11:20 . 2008-08-26 11:20 <REP> dr-hs---- C:\WINDOWS\system32\flcss.exe
2008-08-26 11:20 . 2008-08-26 11:20 <REP> dr-hs---- C:\WINDOWS\flcss.exe
2008-08-20 00:15 . 2008-09-03 13:13 <REP> d-------- C:\Documents and Settings\Malika\Application Data\Thinstall
2008-08-19 00:45 . 2008-08-20 00:31 <REP> d-------- C:\Program Files\HT Video Editor 6.1
2008-08-18 23:45 . 2008-08-18 23:51 <REP> d-------- C:\Program Files\PhotoBrush
2008-08-17 14:20 . 2008-08-17 14:20 <REP> d-------- C:\Documents and Settings\Malika\Application Data\NCH Software
2008-08-16 16:05 . 2008-08-16 16:05 <REP> d-------- C:\Documents and Settings\Malika\Application Data\CyberScrub
2008-08-16 16:04 . 2008-09-09 22:41 <REP> d-------- C:\Documents and Settings\Malika\Application Data\cleaner
2008-08-15 00:41 . 2004-03-18 18:36 401,484 --a------ C:\WINDOWS\system32\msvcrtd.dll
2008-08-14 00:34 . 2008-08-14 00:34 <REP> d-------- C:\Program Files\GizmoPlugin
2008-08-14 00:34 . 2008-08-14 00:34 86,016 --a------ C:\WINDOWS\system32\GizmoPluginCPL.cpl
2008-08-11 21:44 . 2008-08-11 21:44 <REP> d-------- C:\Program Files\Easy Video Joiner
2008-08-11 21:28 . 2008-08-11 21:28 <REP> d-------- C:\Program Files\Easy Video Splitter
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-11 16:09 66,272 ----a-w C:\Documents and Settings\Malika\Application Data\GDIPFONTCACHEV1.DAT
2008-09-11 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic
2008-09-09 17:11 --------- d-----w C:\Program Files\Arovax AntiSpyware
2008-09-04 16:43 --------- d-----w C:\Documents and Settings\Malika\Application Data\Uniblue
2008-08-30 20:21 --------- d-----w C:\Documents and Settings\Malika\Application Data\U3
2008-08-29 23:36 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-08-29 18:57 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-20 00:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-19 00:32 --------- d-----w C:\Program Files\Paint Shop Pro 5
2008-08-11 21:32 --------- d-----w C:\Program Files\Fichiers communs\Solveig Multimedia
2008-08-10 22:42 --------- d-----w C:\Program Files\Avant Browser
2008-08-02 22:43 --------- d-----w C:\Program Files\Solveig Multimedia
2008-07-22 22:55 --------- d-----w C:\Program Files\Moyea
2008-07-22 22:55 --------- d-----w C:\Documents and Settings\Malika\Application Data\Moyea
2008-07-22 21:32 --------- d-----w C:\Program Files\Panicware
2008-07-13 19:30 --------- d-----w C:\Program Files\NCH Swift Sound
2008-07-13 19:30 --------- d-----w C:\Documents and Settings\Malika\Application Data\NCH Swift Sound
2008-07-11 23:42 --------- d-----w C:\Program Files\AIST
2008-07-11 23:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2008-07-11 19:07 --------- d-----w C:\Program Files\NCH Software
2007-05-16 16:53 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2006-11-09 15:20 2,111,096 ----a-w C:\Program Files\NPSWF32.dll
2006-09-16 16:20 3,808 ----a-w C:\Program Files\SETUP.LST
2005-08-28 23:36 1,528 ----a-w C:\Program Files\Accessibility Wizard.lnk
2004-10-31 15:39 76 --sh--w C:\Program Files\Desktop.ini
1998-06-18 00:00 140,800 ----a-w C:\Program Files\setup.exe
2007-02-15 21:51 5 --sha-w C:\WINDOWS\system32\abade_s.dll
2007-05-29 12:20 320,800 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-05-29 12:20 13,088 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-20 185896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 286720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 13312]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2006-11-18 966756]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^EyeLoveU.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\EyeLoveU.lnk
backup=C:\WINDOWS\pss\EyeLoveU.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Orbit.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Orbit.lnk
backup=C:\WINDOWS\pss\Orbit.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Malika^Menu Démarrer^Programmes^Démarrage^Yahoo! Widgets.lnk]
path=C:\Documents and Settings\Malika\Menu Démarrer\Programmes\Démarrage\Yahoo! Widgets.lnk
backup=C:\WINDOWS\pss\Yahoo! Widgets.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2002-08-29 09:45 13312 C:\WINDOWS\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-03-11 21:34 49152 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2002-08-28 21:38 208953 C:\WINDOWS\ime\IMJP8_1\imjpmig.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--------- 2005-01-27 17:17 1381376 C:\Program Files\Ahead\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhotoShow Deluxe Media Manager]
--a------ 2005-02-26 00:28 212992 C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Program Files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
--a------ 2005-09-05 15:55 339968 C:\WINDOWS\vsnpstd3.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-05-20 23:47 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
--a------ 2005-11-04 15:05 90112 C:\WINDOWS\tsnpstd3.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)
"RDSessMgr"=3 (0x3)
"mnmsrvc"=3 (0x3)
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-07-19 45376]
S2 Gizmo Plugin;Gizmo VoIP Service;C:\Program Files\GizmoPlugin\GizmoPlugin.exe [2008-08-14 962048]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7dc25c0-de93-11da-b8b6-806d6172696f}]
\shell\play\Command - "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:3 /device:AudioCD "%L"
*Newly Created Service* - ADILOADER
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
.
- - - - ORPHANS REMOVED - - - -
MSConfigStartUp-iTunesHelper - C:\Program Files\iTunes\iTunesHelper.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Malika\Application Data\Mozilla\Firefox\Profiles\e5jczc0o.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF -: plugin - C:\Program Files\Adobe\Acrobat 5.0\Reader\Browser\nppdf32.dll
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\Real\RhapsodyPlayerEngine\nprhapengine.dll
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Rootkit scan 2008-09-11 16:33:36
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...

**************************************************************************
.
Temps d'accomplissement: 2008-09-11 16:43:30
ComboFix-quarantined-files.txt 2008-09-11 16:42:24
Pre-Run: 4,294,873,088 octets libres
Post-Run: 4,287,684,608 octets libres
173 --- E O F --- 2008-08-15 22:20:32

وهيدا تقرير الهايجاك

Logfile of HijackThis v1.99.1
Scan saved at 17:05:04, on 11/09/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\GizmoPlugin\GizmoPlugin.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\hijackthis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan ) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


O17 - HKLM\System\CCS\Services\Tcpip\..\{7ACF8882-929F-4DDB-9BDF-5C051EDE29E5}: NameServer = 196.217.246.210 212.217.0.13
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Gizmo VoIP Service (Gizmo Plugin) - SIPphone, Inc. - C:\Program Files\GizmoPlugin\GizmoPlugin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

thanks for your help
:smile:
 
التقرير سليم
والحمد لله على السلامه
لا تنسين تسوي سكان بين فتره وفتره
لا تخلين جهازك مفتوح بالهوا
وما تسوين سكان الا في الحالات الطارئه
المكافح ما يفيد بعد ما يطيع الفاس على الراس
يبغا معه ادوات واعمال وقلق وغثاء
حاولي تسوي على الاقل اسبوعيا ً سكان كامل للجهاز
 
توقيع : Juve Guard
السلام عليكم

الحمد لله ان التقرير سليم :smile:
الله يجازيكم بالخير بتشكر تعاونكم كثير كثير
الله يبارك فيكم جميعا :smile:
 
عودة
أعلى