فايروس الاوتورن يعود بقوة ارجو المساعدة

[emadii99]

السلام عليكم اخواني الزيزوميين .. وتحية خاصة لقائد الفيلق الاخ زيزووم الذي عودنا على اغتيال الفيروسات بمختلف انواعها ..
فيروس قديم جديد .,. او بالاحرى متجدد ... كان يعرف سابقا بفايروس Copy.exe و معه بقية افراد العصابة : host.exe & autorun.inf​

اظنه اليوم قد قام بتطوير نفسه .. واصبح يحمل اسم : SCVVHSOT.exe أو أنه فايروس جديد ويضع نفسه داخل مجلد الويندوز و مجلد system32 ​

انجازات الفايروس العظيمة :
بصراحة لا استطيع حصرها كلها لكثرتها .. و لكني سأذكر الأبرز منها :​

* اهم انجاز .. يقوم بضرب الكاسبر سكاي مهما كان الاصدار ..أي انه يقوم بتعطيل البرنامج اولا و ثانيا يقوم بتعطيل اصلاح البرنامج أو حتى حذفه ( حتى اني استخدمت برنامج Your Uninstall 2008 ) ولم استطيع ازالته وبالتالي ايضا لا استطيع تحميل اي اصدار اخر من الكاسبر ما دام هناك نسخة موجودة و لم تتم ازالتها ...​

* يقوم بتعطيل عملية ال run ويقوم لك انه تم حظرها من المسؤول​

* يعطل ادارة المهام Windows Task Manager ويغلقها فور فتحها ..​

* يعطل استعادة النظام System Restore يقول لك ان الملف معطوب :blbyeh:​

* هههههههههه :frown: يعطل حتى الدخول بوضعية الامان للويندوز Safe mode اول ما تختار السيف مود يعمل ريستارت الجهاز ..​

* ينسخ نفسه بداخل كل مجلد بنفس اسم المجلد وشكل مجلد ولكنه exe :frown: اذا ضغطت عليه بالغلط تجيب العيد .....:jhuyno:​

* أحيانا وبشكل عشوائي يقوم باغلاق أي شيء مفتوح بالجهاز يخطر على باله ... صفحة انترنت - ريل بلير .. صفحة اوفيس - صورة .. ( ليس بشكل جماعي انما واحدة منهم ) بشكل استفزازي ​

* يعطب بعض البرامج .. اي بشكل عام يصيب بعض ملفات ال exe.​

استخدمت مجموعة الادوات التي قام الاخ الكينج مشكورا بوضعها هنا :​

واستعملت جميع الاداوت الموجودة بالاصدار و تم حل بعض مشاكل مسؤول النظام ولكن سرعان ما يزول مفعول الجرعة بدون سبب .. و يعود كما كان .. صدق او لا تصدق .. يعني استعملت الادوات الموجودة و استطعت الدخول مثلا الى الrun واستطعت فتح صفحة ادارة المهام .. و لكن بعد دقائق اردت الدخول مرة اخرى لكي اتفاجأ بأن المشكلة قد عادت كما كانت وقمت بمسح جميع الملفات التي تبدا مع بدأ التشغيل من ال mscofig



قمت اليوم بعد محاولات يائسة لحذفه بعمل فورمات ولم اقم بفرمتت بقية الاقراص لانها مليئة بالملفات المهمة .. وبعد الفورمات بعشر دقائق قام الفايروس مشكورا بالقفز مرة اخرى الى مجلد الويندوز :blbyeh: ( مع العلم اني لم اقم بفتح اي قرص ثاني غير السي .. صدق او لا تصدق )

تذكرت انجاز اخر للفايروس :

* يقوم بجعلك تكتب موضوع طويل في المنتدى مما يؤدي لاصابة الاخوة الاعضاء بالملل :noskjiuyweat:





له اسم اخر قد لمحته اليوم لأول مرة .. و هو kongxsg.exe

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

و كما يقول المثل موضوع طويل عريض خير من تقرير هايجاك ..............


أرجو أن أكون قد أتيت لكم بمهمة جديدة وليست بالمستحيلة لاعضاء عصابة زيزووم ... أهم شي لا احد يقلي فرمت باقي الاقراص لان عليها ملفات مهمة و حجم الملفات مجموعة ما يقارب الاربعين غيغا ..:frown:


مشكورين سلفا .... والسلام عليكم و رحمة الله وبركاته

 

[MAAX]

مع ان العنوان كان جميل الا انه مخالف للقوانين
اعذرنا وانا اخوك غيرناه:blusnuphing:

 

[MAAX]

حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم​

 

[الآمل الطائر]

​

 

[emadii99]

معذور و انا خوك وعذرا لم أنتبه الى ان العنوان مخالف للوائح و القوانين الزيزوومية​

و كما يقول المثل موضوع طويل عريض خير من تقرير هايجاك ..............

لازم يعني الهايجاك .. يا اخي عندي حساسية منو مدري ليه:biggrin: ... عالعموم تفضل :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:41:00 م, on 24/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\System\jiejgvo.exe
C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\JetAudio\jetAudio.exe
C:\Program Files\Caffe\Server.exe
C:\Documents and Settings\lLavanda\Desktop\Small.CHA_Removal.exe
C:\Documents and Settings\lLavanda\Desktop\Zyzoom_HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe
O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Caffe-Server] C:\Program Files\Caffe\Server.exe
O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVVHSOT.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: ت&صدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3C2023D-0001-46BE-9B95-120DD3E1232A}: NameServer = 82.137.216.10,82.137.216.11
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5513 bytes​

كان هذا تقريرنا من داخل الجهاز ... مع تلوين الملفات المصابة ..وهذا الملف :
jiejgvo.exe
نسيت ذكره في موضوعي لانه ايضا كما ترون متواجد في السواقات وهو تابع للفايروس الاساسي ... وشكرا​

 

[MAAX]

شوف ياغالي ,,, حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من الفيروسات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط الاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,

ولحفظ التقرير اعمل التالي ,,

بعدهاا ارفع التقرير على هذا الموقع ,, وارفق الرابط بردك القادم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[boob77]

السلام عليكم

ادخل هالموضوع واعمل فحص بالاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ونزل هالاداة خاصة لازالة فايروس الاوتورن

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بالنسبة للتقرير احذف هالقيم

O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dl

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll

O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe

O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe

O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe

O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe

O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVVHSOT.exe

بعد ما تخلص اعد التشغيل واعمل تقرير ثاني

 

[boob77]

شوف ياغالي ,,, حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من الفيروسات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

فديتك ردينا مع بعض :iconmju30:

 

[MAAX]

فديتك ردينا مع بعض :iconmju30:

منور حبيبي

بس عشان ما يصير اختلاط على الرجال انت عطيته موضوع يفحص بالكاسبر وانا عطيته للمكافي وهي ماتفرق اي وحدة يسوي مو مشكلة

 

[emadii99]

والله ياخوي شسويله مادري وش اقلك ... يظهر المشكلة مستعصية ... الاداة صرلها ساعتين بالزبط شغالة و معلقة عند مجلد و مو راضية تحذفه ولا تكمل .. والمجلد نفسو هو ملف مضغوط لا يقبل الحذف ولا التحريك ولا النسخ ولا اعادة التسمية ... كما هو واضح في الصورة وقمت باعادة تشغيل الاداة وعملت ريستارت للجهاز اكثر من مرة ولكنه يعود ويقف بالساعات عند هذا الملف .... :frown:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[MAAX]

انا اشوف عندك فايروسات واجد انحذفو بالمكافح

بالنسبة للملف اللي مسوي تعليق اعد تشغيل الجهاز بالوضع الامن واحذفه
او
استخدم احدى الطرق من هذا الموضوع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[emadii99]

بعد التعب والكلل والملل منذ ا لأمس مواصل الى اليوم والساعة الان الثامنة صباحا و انا في صراع مستمر مع الفيروس ابن .. الحلال .. الظاهر يا عم شسويله .. الفايروس بطريقة أو بأخرى قدر يتغلب على الاداة ..ثمان ساعات متواصلة في محاولات فاشلة لاكمال عملية البحث بهذه الأداة و كل مرة يقف بها البحث عند احد ملفات الفايروس .. واقوم بحذفه يدويا بالبرنامج الذي وضعته لي في الرد السابق .. و اعيد البحث لاجد انه توقف عند ملف اخر .. أو يقوم الملف المحذوف بنسخ نفسه مرة أخرى أن هذا الفايروس قد أثقل كاهلي وأصابني باليأس والاحباط ... وغدوت أرى قصة فرمتة الهارد كاملا .. أمرا شبه محسوم .. ارجوكم ساعدوني اني اغرق اغرق ...وجدت مساحة خالية في الموضوع فآثرت أن اتركها فارغة .. سوف أملأها باخر تقرير للعم هايجاك :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:55:59 ص, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\System\jiejgvo.exe
C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
c:\Zyzoom_AVG_Anti-Spyware_Plus_7.5.1.43_Portable\guard.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\autorun.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_s.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\xcopy.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_s.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\xcopy.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_f.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\xcopy.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kis_install_f.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\xcopy.exe
C:\zyz_mcafee\VirusScan Enterprise\run.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\JetAudio\jetAudio.exe
C:\DOCUME~1\lLavanda\LOCALS~1\Temp\AutoPlay\Docs\kav_install_s.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\xcopy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\lLavanda\Desktop\Icon\Zyzoom_HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe
O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe
O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader (2).lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: ت&صدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 8.0\SCIEPlgn.dll (file missing)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFE2196D-87DC-49B2-9C68-C750E84908BE}: NameServer = 82.137.216.10,82.137.216.11
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - c:\Zyzoom_AVG_Anti-Spyware_Plus_7.5.1.43_Portable\guard.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 6719 bytes
​

 

[emadii99]

قمت اليوم بتنزيل اسطوانة الاخ زيزووم للكاسبر سكاي .. واستعملت اداة ازالة جميع اصدارات الانتي فيروس .. و لم احصل على نتيجة .. في كل مرة احاول بها ان أزيل البرنامج الموجود او اعيد اصلاحه تأتيني هذه المسسج

الى الان قمت تقريبا باستعمال كل اداوت حذف الفيروسات الموجودة في هذا المنتدى .. والفايروس لا يزال في ا لانتشار والتوسع .. الان يقوم باغلاق اي صفحة اقوم بفتحها .. حتى برنانج الانترنت كفي .. مع اني اعدت تنصيبه من جديد .. اخاف ان يتطور الامر به ألى أن يمنعني من المقدرة من الكتابة هنا :frown:​

 

[زيزوووم]

هلااا فيك ياغالي ,,

لاهنت اتبع التالي وبالترتيب

( اولااا )
قفل متصفح الانترنت
وباستخدام البرنامج Hijack This اللي عملت فيه التقرير
اعمل فحص جديد واشر على هذه القيم >>> واضغط على Fix Checked


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)


O2 - BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll


O4 - HKLM\..\Run: [npsliqr] C:\Program Files\Common Files\System\jiejgvo.exe


O4 - HKLM\..\Run: [kongxsg] C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe


O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe


O4 - HKCU\..\Run: [face dale] C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe


O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 8.0\SCIEPlgn.dll (file missing)




وهذا شرح للعمليه (( القيم غير حقيقيه اللهم للشرح ))

( ثانياا )
حمل هذه الاداة ,, وقم بتشغيلهاا ( سوف يعاد تشغيل جهازك بشكل تلقائي )
بعدها يظهر لك تقرير ,, انسخه والصقه بردك القادم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

( ثالثاا )
اعد تشغيل جهازك ,, واعمل تقرير هايجاك جديد​

 

[emadii99]

اهلين بالغالي .. نورت موضوعي و ما نشوفك بمشاكل انشالله ... رح اعمل يلي طلبتو مني مباشرة .. بس حبيت تشوف صورة الفيروس عن قرب .. ازا عندك فكرة عنو ... و لي عودة بالرد القادم .. شكرا لك اخي الغالي .. و شكرا لجميع مين تفاعل معي بالموضوع ..

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[emadii99]

اخوي زيزووم بارك الله فيك .. سويت زي ما قلتلي ولكن لم اجد كل القيم المذكورة .. وجدت قيمة واحد فقط و قمت باصلاحها .. و هذا التقرير الجوي الي اجا بعد الريستارت​

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yinijgka
*******************
Script file located at: \??\C:\WINDOWS\system32\mvkqfqxi.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\Program Files\Common Files\System\jiejgvo.exe deleted successfully.
File C:\Program Files\Common Files\Microsoft Shared\bihwyym.exe deleted successfully.
File C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll deleted successfully.
File C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll deleted successfully.​

File C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe not found!
Deletion of file C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe failed!
Could not process line:
C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Support Film.exe
Status: 0xc0000034
File C:\DOCUME~1\lLavanda\APPLIC~1\FINDBU~1\corn roam frag.exe deleted successfully.
Folder C:\Program Files\BearShare Applications deleted successfully.
Completed script processing.
*******************
Finished! Terminate.​

 

[emadii99]

و هذا تقرير الهايجاك الاخير .. مع صورة فوتوغرافية ....​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

..............................................​

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:20:47 ص, on 25/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\lLavanda\Desktop\Icon\Zyzoom_HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CHIN PING PHONE PILE] C:\Documents and Settings\All Users\Application Data\Proxy Long Chin Ping\Remote Funk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFE2196D-87DC-49B2-9C68-C750E84908BE}: NameServer = 82.137.216.10,82.137.216.11
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 1720 bytes​

 

[زيزوووم]

اهلين بالغالي .. نورت موضوعي و ما نشوفك بمشاكل انشالله ... رح اعمل يلي طلبتو مني مباشرة .. بس حبيت تشوف صورة الفيروس عن قرب .. ازا عندك فكرة عنو ... و لي عودة بالرد القادم .. شكرا لك اخي الغالي .. و شكرا لجميع مين تفاعل معي بالموضوع ..

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هلااا بيك وتسلم ياذووق

اخوي ,, الفايروس >>> الملف kongxsg.exe فقط
والباقي للنظام (( مجلدات مخفيه ))
والمجلد autorun.inf حتى يحميك من الفايروس (( حتى مايشتغل عند فتح اي قرص في الجهاز ))

--------------------

لاهنت حمل هذه الاداة ,, وقم بتشغيلهاا ( سوف يعاد تشغيل جهازك بشكل تلقائي )
بعدها يظهر لك تقرير ,, انسخه والصقه بردك القادم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعدهاا اعمل تقرير هايجاك جديد ,,​

 

[emadii99]

ابشرك قمت بتحميل الاداة و شغلتها والجهاز عمل ريستارت .. ولكن الجهاز الان لا ييفتح ابدا .. لا يقوم بتسجيل الدخول الى حساب الويندوز ... يعمل لوغ اون و على طول وراه لوغ اوف وحتى دخلت من الادمن نفس الموضوع ... و دخلت سيف مود نفس لموضوع الجهاز مو راضي يدخل على النظام .. Log on وراه على طول Log off ... فورمات ؟؟؟؟؟؟؟؟؟؟

 

[boob77]

هلا فيك اخوي

اغلق الجهاز وخله فترة وعقب شغله

اذا صارت نفس المشكلة روح على خيارت الوضع الامن واختار الخيار الثالث اعتقد command promt

ثم اعمل التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

راح يظهر لك مدير المهام اختر ملف مهمة جديدة

والصق هذه العبارة

systemroot%\system32\restore\rstrui.exe%

راح تجيك صفحة استعادة النظام وان شاء الله تكون شغالة
_______________________________

اذا ما نفع اختر من الخيارات هذا

last known good configuration

اذا ما نفع لازم اسطوانة الويندوز عشان تعمل ريبير