اخوانى ارجو المساعدة خلاص ماليش امل غيركم

[mamsat]

السادة الافاضل اخوانى مشرفى ومراقبى واعضاء القسم
انجدونى لقد يأست بمعنى الكلمة من جهازى والى بيحصلى منة
وقالولى ان علية عفاريت ومش ها يشفى غير فى منتداكم العظيم
من اكثر من شهر وانا دايخ بدون فائدة واسمحولى هاطول عليكم شوية
لكنىعارف ان صدركم رحب وهاتستحملونى واليكم المشكلة بحازفيرها
اولا ابتدت بثقل فى الجهاز وامور الفايروسات العادية مما جعلنى اشعر ان هناك
من يتحكم بجهازى عن بعد وجربت طرق ازالة الاتو ران العادية وازيل
ونزلت ويندوز جديد وقلت اسطب انتى فايروس واعمل اسكان
والنتيجة ولابرنامج انتى فايروس رضى يعمل او يكمل حتى الابديت ثم يفصل
الجهاز شوت داون -قلت اعمل اسكان على انت -اون لاين -جربت جميع المواقع
يعمل اسكان ويظهر لى مئات الفيروسات ثم عند المعالجة يفصل الاتصال
بالنت ولايرجع النت الا بعد ازالة تعريف كارت اللان من جديد
قلت مافيش فايدة لازم افرمت الهارد وعلية العوض فى تعب السنين
فرمت الهارد وقسمتةمن جديد ونزلت ويندوز جديدة وقلت اسطب انتىفايروس
من اسطوانة خارجية وكانت المفاجئة الكبرى الانتى قايروس لايكمل
جربت كل البرامج المهم الافيرا اشتغل وطلب تحديث وصلت النت وعمل تحديث
وعملت اسكان والحمد للة مامسكش حاجة لان الهارد فاضى
وبعد عشر دقائق على النت رجع الحهاز اتقل من الاول
نزلت ويندوز جديدة ونصحنى الاصدقاء بالديب فريز وغلق
بارتيشن سى وفعلا تم عمل الديب وقفلت السى والنتيجة
الجهاز يعمل جيدا ولساعات طويلة بدون مشاكل وبدون النت
وعند توصيل النت يحدث الاتى
1 -ثقل فى الجهاز وثقل فى التصفح
2-عند دخول بعض المواقع يعمل شوت داون
3-عند تتبع امر التاسك مانيجر task managerاجد عشرات البرامج العاملة والمكررة
ولا اعلم عنها شى مثل RUNDLL.32.EXEمكرر
4-عند دخول الTEMPفى الدوكمن اند سيتنج
اجد عشرات الملفات وبعدها شبية بالدوس لايحذف ابدا ومرقق صورة​

وعند ازالتها تظهر الصورة الاتية

5-عند غلق الجهاز وقتحة تبدو الامور جيدة بالديب فريزر ثم لحظات بعد النت وتبدا المشاكل
وعندالتصفح تظهر شاشات شبيهى بالدوس تحمل تلقائى ويبدا الملفات فى التمب بارجوع تدريجية
والانتى فايروس نايم
واخيرا نصحنى اصدقائى بالجوء اليكم ورفع تقرير ببرنامج

واليكم التقرير
---------------------------Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:17:53 صباحاً, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Windows\system32\VisualTask\VisualTask.exe
C:\WINDOWS\system32\OpjctDock\Dock.exe
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\Program Files\stopcut\StopCut.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
G:\صناعه المشاركات\محمد دياب.exe
C:\DOCUME~1\محمدال~1\LOCALS~1\Temp\ir_ext_temp_0\autorun.exe
C:\DOCUME~1\محمدال~1\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Docs\Fwasil.exe
C:\DOCUME~1\محمدال~1\LOCALS~1\Temp\ir_ext_temp_0\AutoPlay\Docs\diab.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\rundll32.exe
G:\fixd\ادوات ازالة اللعين\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ( MISHO )
O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [GLDStart] C:\Program Files\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [VisualTask] Windows\\system32\\VisualTask\\VisualTask.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VisualTask] Windows\\system32\\VisualTask\\VisualTask.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: StopCut home.lnk = C:\Program Files\stopcut\StopCut home.url
O4 - Startup: StopCut.lnk = C:\Program Files\stopcut\StopCut.exe
O4 - Global Startup: Dock.lnk = C:\WINDOWS\system32\OpjctDock\Dock.exe
O4 - Global Startup: TempClean.lnk = C:\WINDOWS\system32\TempClean\TempClean.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O20 - AppInit_DLLs: HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
--
End of file - 7583 bytes
-------------------------------

فارجوكم الاهتمام ونصيحتى ماذا افعل وهل جهازى مخترقا او هناك من يتحكم بة معى على الشبكة
واتمنى من اللة ان اجد الحل لديكم والف شكرا مقدما وتحياتى لكم جميعا
​

 

[Mr.Ali4Ever]

اخي العزيز جهازك اكلته الفيروسات عن بكرت ابيه

طيب تابعني وانشالله نتخلص من هذه الفيروسات واحد تلو الاخر

 

[Mr.Ali4Ever]

تلزمك عدة خطوات

اول شي قبل ان تعمل اي شيئ احذف برنامج الديب فريز نهائيا ً من الجهاز حاليا​

1​

استخدم الأداة التالية لحذفه في الوضع الآمن
++++++++++++++++++++++++
حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,​

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

​

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

2​

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
(3)
واعمل تقرير للهايجاك

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم​

 

[mamsat]

اخى العزيز الف شكر للرد وجارى عمل ما نصحتنى بة وشكرا مقدما

 

[mamsat]

اخى الفاضل تم عمل ما امرتم بة واليك التقارير
-------------------------------------------
SmitFraudFix v2.366
Scan done at 19:43:16.32, Fri 10/24/2008
Run from G:\asdasd\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End
---------------------------------------------------------------------------------------------------
والتقرير الثانىComboFix 08-10-23.08 - mamsat 10/24/2008 19:46:44.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.120 [GMT 2:00]
Running from: C:\Documents and Settings\mamsat\Desktop\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
Error: Cfiles.dat
((((((((((((((((((((((((( Files Created from 2008-09-24 to 2008-10-24 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-20 21:02 81,920 ----a-w C:\WINDOWS\DUMP576e.tmp
2008-10-20 20:55 --------- d-----w C:\Program Files\GLDirect
2008-10-20 16:44 7,372,189 ----a-w C:\Persi0.sys
2008-10-20 16:44 --------- d-----w C:\Program Files\HyperTechnologies
2008-10-20 16:21 --------- d-----w C:\Program Files\Ringz Studio
2008-10-20 16:21 --------- d-----w C:\Program Files\Common Files\Real
2008-10-20 16:19 --------- d-----w C:\Program Files\K!TV
2008-10-20 16:01 720,896 ----a-w C:\WINDOWS\iun6002.exe
2008-10-20 16:01 --------- d-----w C:\Program Files\Unlocker
2008-10-20 16:01 --------- d-----w C:\Program Files\Folder Guide
2008-10-20 16:01 --------- d-----w C:\Program Files\FirmTools
2008-10-20 16:01 --------- d-----w C:\Program Files\7-Zip
2008-10-20 16:00 --------- d-----w C:\Program Files\Winamp
2008-10-20 15:59 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-10-20 15:53 --------- d-----w C:\Program Files\iColorFolder
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2006-03-16 21:15 2,662,400 ----a-w C:\Program Files\PDF_Reader.exe
.
------- Sigcheck -------
09/30/2007 12:44 AM 2321920 0e8a78b032c8d1d5b1c8f7487d841cf4 C:\WINDOWS\system32\ntoskrnl.exe
06/22/2007 05:27 PM 3597824 79fac11072b5ffe1e54ed4e2a367e0a2 C:\WINDOWS\explorer.exe
05/01/2007 05:21 AM 172544 799ca26ce13f012f37aec542913e00a5 C:\WINDOWS\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/03/2004 11:56 PM 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [09/07/2006 07:19 PM 15872]
"StormCodec_Helper"="C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" [07/19/2005 12:45 PM 96159]
"GLDStart"="C:\Program Files\GLDirect\gldirect.exe" [10/20/2008 10:58 PM 118784]
"Resume copy"="copyfstq.exe" [03/24/2002 01:54 PM 46080 C:\WINDOWS\COPYFSTQ.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/03/2004 11:56 PM 15360]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Dock.lnk - C:\WINDOWS\system32\OpjctDock\Dock.exe [2008-10-20 1826885]
TempClean.lnk - C:\WINDOWS\system32\TempClean\TempClean.exe [2008-10-20 356352]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDevMgrUpdate"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
08/26/2002 12:17 PM 49152 C:\WINDOWS\system32\LogonDll.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"="0x00000000"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 DepFrzHi;DepFrzHi;C:\WINDOWS\system32\drivers\DepFrzHi.sys [08/26/2002 12:16 PM 12288]
R0 DepFrzLo;DepFrzLo;C:\WINDOWS\system32\drivers\DepFrzLo.sys [08/26/2002 12:15 PM 52709]
R0 pmfilt;pmfilt;C:\WINDOWS\system32\drivers\pmfilt.sys [09/18/2003 05:01 PM 10112]
R0 pmhelp;pmhelp;C:\WINDOWS\system32\drivers\pmhelp.sys [09/18/2003 05:01 PM 48672]
R2 DFServEx;DFServEx;C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe [08/26/2002 12:15 PM 288256]
R3 ati2mtaa;ati2mtaa;C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [08/03/2004 10:29 PM 327040]
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-VisualTask - Windows\\system32\\VisualTask\\VisualTask.exe
HKU-Default-Run-VisualTask - Windows\\system32\\VisualTask\\VisualTask.exe

**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-10-24 19:51:04
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\OpjctDock\DockShellHook.dll
-> C:\Windows\system32\VisualTask\VttHooks.dll
.
Completion time: 10/24/2008 19:51:57
ComboFix-quarantined-files.txt 2008-10-24 17:51:54
Pre-Run: 8,442,593,280 bytes free
Post-Run: 8,434,999,296 bytes free
110
-----------------------------------------------------------
وتقرير الهايجاك
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:34, on 24/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Windows\system32\VisualTask\VisualTask.exe
C:\WINDOWS\system32\OpjctDock\Dock.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
G:\asdasd\3\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [GLDStart] C:\Program Files\GLDirect\gldirect.exe -filterstart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [VisualTask] Windows\\system32\\VisualTask\\VisualTask.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dock.lnk = C:\WINDOWS\system32\OpjctDock\Dock.exe
O4 - Global Startup: TempClean.lnk = C:\WINDOWS\system32\TempClean\TempClean.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
--
End of file - 2475 bytes
----------------------------------------------------------------
ملاحظة اخى الفاضل تم العمل بدون وصلة النت وعند تركيبها للاتصال بك لوحظ الاتى

نشاط غريب فى التاسك مانيجر وتكرر الامر rundll.32.exeمما ابطا الجهاز وهذة صورتة

2- ظهور ملفات كثيرة فى الامتداد Documents and Settings/Local Settings/temp/
وهذة صورتها وتحمل تلقائيا عند الاتصال

 

[البارون]

اخوي هالحين التقرير احسن من اول

احذف هالقيم

O4 - HKUSS-1-5-19..Run: [VisualTask] Windows\system32\VisualTask\VisualTask.exe (User 'LOCAL SERVICE')

O4 - Global Startup: TempClean.lnk = C:\WINDOWS\system32\TempClean\TempClean.exe

ونظف الجهاز

نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

اداة ATF cleaner

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

وبعدين عطنا تقرير هايجاك جديد​

 

[mamsat]

اولا الف شكر لكم جميعا ومعلش باتعبكم معايا انا حاسس ان هناك من يحاربنى بمجرد توصيل النت
وحاسس انى قربت من النهاية السعيدة بفضل اللة وبفضلكم
نفذت الخطوات ودة اخر تقرير

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:02:32, on 25/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\OpjctDock\Dock.exe
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\System.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
G:\asdasd\3\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [GLDStart] C:\Program Files\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKLM\..\Run: [HBService32] System.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dock.lnk = C:\WINDOWS\system32\OpjctDock\Dock.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O20 - AppInit_DLLs: HBmhly.dll,HBZHUXIAN.dll,HBZG.dll,HBQQFFO.dll,HBCHIBI.dll
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O21 - SSODL: Upnp - {DE01DA19-A6A8-EB80-4D47-248DEB2A9399} - C:\WINDOWS\system32\upnpsrv.dll
O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
--
End of file - 6303 bytes

 

[mamsat]

اخوانى اسف على التأخير بسبب السفر
اخر تقرير

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:51, on 29/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\OpjctDock\Dock.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
G:\asdasd\3\Zyzoom_HijackThis.exe
C:\DOCUME~1\محمدال~1\LOCALS~1\Temp\001.cab
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 localhost
O1 - Hosts: 127.1 fffff8888fsgfbghj88.cn
O1 - Hosts: 127.1 61.134.37.12
O1 - Hosts: 127.1 ko.ssa387.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 12345.ssa387.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 wwwwhf.cn
O1 - Hosts: 127.1 a89369093.sq.u9idc.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 tw.lovechina.tw.cn
O1 - Hosts: 127.1 222.189.238.151
O1 - Hosts: 127.1 222.179.185.78
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 593ffcey.cn
O1 - Hosts: 127.1 set.yay520.cn
O1 - Hosts: 127.1 tenmoc999.cn
O1 - Hosts: 127.1 lihai88.com
O1 - Hosts: 127.1 121.kcuf-01.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 up.bizmd.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 hai067.com
O1 - Hosts: 127.1 hai088.com
O1 - Hosts: 127.1 778899.jd8j.cn
O1 - Hosts: 127.1 sql.78-11.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 max-2.cn
O1 - Hosts: 127.1 a.asp-o.cn
O1 - Hosts: 127.1 b.asp-o.cn
O1 - Hosts: 127.1 c.asp-o.cn
O1 - Hosts: 127.1 x.kprobb.cn
O1 - Hosts: 127.1 js.php-k.cn
O1 - Hosts: 127.1 max-1.cn
O1 - Hosts: 127.1 max-3.cn
O1 - Hosts: 127.1 max-4.cn
O1 - Hosts: 127.1 max-5.cn
O1 - Hosts: 127.1 max-6.cn
O1 - Hosts: 127.1 max-7.cn
O1 - Hosts: 127.1 max-8.cn
O1 - Hosts: 127.1 max-9.cn
O1 - Hosts: 127.1 max-10.cn
O1 - Hosts: 127.1 max-11.cn
O1 - Hosts: 127.1 max-12.cn
O1 - Hosts: 127.1 twocannon250.com.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 biqulu.cn
O1 - Hosts: 127.1 2008.qq2006.com.cn
O1 - Hosts: 127.1 giaitrisex.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 mekiep.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 a.9ymm.com
O1 - Hosts: 127.1 bobo.7wyt.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 asp-15.cn
O1 - Hosts: 127.1 asp-12.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 6.a88a.com
O1 - Hosts: 127.1 w.b2c3.cn
O1 - Hosts: 127.1 m.c5x8.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 u.cnmrx.net
O1 - Hosts: 127.1 duowan.czm.cn
O1 - Hosts: 127.1 xccxcxcxcxcx.cn
O1 - Hosts: 127.1 google-yahoo.org.cn
O1 - Hosts: 127.1 tudou-net.org.cn
O1 - Hosts: 127.1 downloads.zango.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 bis.180solutions.com
O1 - Hosts: 127.1 installs.hotbar.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 static.zangocash.com
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 aa.9234.net
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 97love.info
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 zyzhuiku.cn
O1 - Hosts: 127.1

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 127.1 lang18.com
O1 - Hosts: 127.1 sao6666.com
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [GLDStart] C:\Program Files\GLDirect\gldirect.exe -filterstart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [3PMmUpdate] rundll32 "C:\WINDOWS\Update.dll",Main
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dock.lnk = C:\WINDOWS\system32\OpjctDock\Dock.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O21 - SSODL: msnmsg - {DA191DE0-AA86-4ED0-4B87-293D48B2AE99} - C:\Program Files\Messenger\msgmr.dll
O23 - Service: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
--
End of file - 5918 bytes

 

[فارس الملاك]

عزيزي نزل هالاداة ودبل كليلك عليها

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

​

​

بعدها اعمل تقرير هايجاك جديد​