أخيرا .... تقرير جاهز ... بعد محاولات

إ

إسماعيل

زيزوومى فعال
إنضم
16 يناير 2008
المشاركات
249
مستوى التفاعل
1
النقاط
330
الإقامة
ksa
غير متصل
السلام عليكم ورحمة الله وبركاته ..
أسعد الله أوقاتكم بالخيرات والسرور ..

هذا التقرير لجهازي الآخر ـ ساعدوني بارك الله فيكم .. عااااااجلا ..

كود: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:16, on 2008-11-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
F:\أدوات زيزوم\Zyzoom_HijackThis.exe
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-20 Startup: Empty.pif = ? (User 'NETWORK SERVICE')
O4 - S-1-5-18 Startup: Empty.pif = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: Empty.pif = ? (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Application Layer Gateway Service (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
--
End of file - 2886 bytes

والشكر مقدما لمن يساعدني ..
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
احذف القيم

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'SYSTEM')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1


طريقه الحذف



mg%20%283%29.png


mg%20%284%29.png




نزل هالاداة لتنظيف الجهاز​



يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




zyzoom-3c0e283670.gif




ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png
 
توقيع : Run
تأييد 0
وعليكم السلام ..

عليك بهذه القيم ,,

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe" (User 'SYSTEM')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O4 - .DEFAULT Startup: Empty.pif = ? (User 'Default user')

O4 - S-1-5-18 Startup: Empty.pif = ? (User 'SYSTEM')

O4 - S-1-5-20 Startup: Empty.pif = ? (User 'NETWORK SERVICE')
 
توقيع : ashalshaikh
تأييد 0

طريقة الحذف


mg%20%283%29.png



mg%20%284%29.png

++++++++++++++++++++++++++++++++++
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي







جهازك فيه فيروس أوتورن ,,

شغل هذه الأداة ,,

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



قم بتشغيلها واتبع الشرح :

ri0jwrauixffv0n3hsk9.png


ستظهر لك هذه الشاشة السوداء ماعليك سوى الإنتظار :


ph5zm97asywocrv26o6n.png



تخبرك الرسالة القادمة بأنه سيتم إعادة التشغيل تلقائيا :


vcugasz5fixcii0xz21f.png



بعد إعادة التشغيل وعند بدء الدخول ستظهر لك هذه النافذه ماعليـك سوى الإنتظار


q7nw2aekeox17qx62fkh.png



هذه هو التقرير قد خرج انسخه والصقه في ردك القادم


2uhlzh9hbxq4i16xu7do.png


وبشر ,,, لا تطول أنا في الإنتظار ,,
 
التعديل الأخير بواسطة المشرف:
توقيع : ashalshaikh
تأييد 0
الآن أفعل ما طلبتموه ...
 
تأييد 0
أخي الكريم منصور
أخي الكريم الشيخ
بارك الله فيكما ،، ونفع بكما
هذا التقرير الأخير من ComboFix تفضلا :

كود: 
ComboFix 08-11-11.01 - Ismail 11/13/2008  1:19:08.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1256.1.1033.18.697 [GMT 3:00]
Running from: f:\أدوات زيزوم\ComboFix.exe
 * Created a new restore point
[COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Ismail\Local Settings\Application Data\inetinfo.exe
c:\documents and settings\Ismail\Local Settings\Application Data\lsass.exe
c:\documents and settings\Ismail\Local Settings\Application Data\services.exe
c:\documents and settings\Ismail\Local Settings\Application Data\winlogon.exe
c:\documents and settings\NetworkService\Local Settings\Application Data\inetinfo.exe
c:\documents and settings\NetworkService\Local Settings\Application Data\lsass.exe
c:\documents and settings\NetworkService\Local Settings\Application Data\services.exe
c:\documents and settings\NetworkService\Local Settings\Application Data\winlogon.exe
.
(((((((((((((((((((((((((   Files Created from 2008-10-12 to 2008-11-12  )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 22:09 6,608 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-12 22:09 573,472 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-12 21:58 163,872 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-12 21:58 1,640 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-12 21:58 --------- d-----w c:\documents and settings\Ismail\Application Data\Grisoft
2008-11-12 21:58 --------- d-----w c:\documents and settings\All Users\Application Data\Grisoft
2008-11-12 21:54 96,976 ----a-w c:\windows\system32\drivers\klin.dat
2008-11-12 21:41 743,936 ----a-w c:\windows\pchealth\helpctr\binaries\HelpSvc.exe
2008-11-12 21:41 57,344 ----a-w c:\windows\system32\userinit.exe
2008-11-12 21:41 33,280 ----a-w c:\windows\system32\rundll32.exe
2008-11-12 21:32 388,608 -c--a-w c:\windows\system32\cmd.exe
2008-11-12 21:32 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-12 21:29 --------- d-----w c:\program files\XP TCPIP Repair
2008-11-12 21:29 --------- d-----w c:\documents and settings\Ismail\Application Data\cleaner
2008-11-12 15:47 69,120 ----a-w c:\windows\system32\spoolsv.exe
2008-11-12 15:47 161,280 ----a-w c:\windows\system32\imapi.exe
2008-11-12 15:47 16,896 ----a-w c:\windows\system32\cisvc.exe
2008-11-12 03:14 10,752 -c--a-w c:\windows\hh.exe
2008-11-12 03:14 1,032,192 ----a-w c:\windows\explorer.exe
2008-11-12 03:09 40,960 ----a-w c:\windows\system32\cidaemon.exe
2008-11-11 10:11 87,855 ----a-w c:\windows\system32\drivers\klick.dat
2008-11-11 10:11 --------- d-----w c:\program files\Kaspersky Lab
2008-11-11 10:10 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [07/29/2008 08:20 PM 206088]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\zyzoom.exe" [11/03/2007 04:50 AM 6731312]
[HKLM\~\startupfolder\C:^Documents and Settings^Ismail^Start Menu^Programs^Startup^Empty.pif]
path=c:\documents and settings\Ismail\Start Menu\Programs\Startup\Empty.pif
backup=c:\windows\pss\Empty.pifStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a--c--- 10/10/2007 07:51 PM 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
--a------ 07/29/2008 08:20 PM 206088 c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a--c--- 08/04/2004 01:56 AM 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus]
--a------ 11/12/2008 06:47 PM 114176 c:\documents and settings\Ismail\Local Settings\Application Data\smss.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Barsaka]
--a------ 11/12/2008 06:14 AM 1032192 c:\windows\explorer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [01/29/2008 06:29 PM 32784]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [03/13/2008 07:02 PM 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [04/30/2008 06:06 PM 24592]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{19cdcfd2-f6ab-11dc-a54b-c757723eb4a6}]
\Shell\AutoRun\command - h:\wd_windows_tools\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2c50907a-f149-11dc-a541-b8b83469b292}]
\Shell\AutoRun\command - F:\fooool.exe
\Shell\explore\Command - F:\fooool.exe
\Shell\open\Command - F:\fooool.exe
*Newly Created Service* - AVG_ANTI-SPYWARE_DRIVER
*Newly Created Service* - AVG_ANTI-SPYWARE_GUARD
*Newly Created Service* - BITS
*Newly Created Service* - HTTPFILTER
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -
MSConfigStartUp-Bron-Spizaetus - c:\windows\ShellNew\bronstab.exe

.
------- Supplementary Scan -------
.
O8 -: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [URL]http://www.gmer.net[/URL]
Rootkit scan 2008-11-13 01:20:32
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes ... 
scanning hidden autostart entries ...
scanning hidden files ... 
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 11/13/2008  1:21:36
ComboFix-quarantined-files.txt  2008-11-12 22:21:29
Pre-Run: 38,756,696,064 bytes free
Post-Run: 38,760,935,424 bytes free
119

ومعذرة على التأخير لأني أستعمل الفلاش ميموري بين هذا الجهاز والآخر المصاب ..
 
تأييد 0
وهذا تقرير أخير بواسطة الهايجاك :

كود: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:29:14 ص, on 13/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\zyzoom.exe
F:\أدوات زيزوم\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\zyzoom.exe" /minimized
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Application Layer Gateway Service (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
--
End of file - 3050 bytes
 
تأييد 0
الان التقرير سليم مئة بامئة هل لديك مشاكل الان ؟؟؟
 
توقيع : السّاجد لله
تأييد 0
أخي هشام .. بارك الله فيك .

الحمد لله الآن الجهاز أحسن من السابق .. وصار الكاسبر مزعج :smile:

لم أجرب عليه العمل ولا فتح أي ملف ـ فقط تشغيل وإطفاء ـ الوقت متأخرا

إن شاء الله الجهاز يكون سليم ..

ولو صدر أي شيء من الجهاز ،، لن أستغني عن إخواني هنا

بارك الله في الجميع وغفر لنا ولكم ولوالديكم وجعل الجنة مثوانا أجمعين ..
 
تأييد 0
بارك الله فيك واحنه جاهزين باي وقت
 
توقيع : السّاجد لله
تأييد 0
والله ما تقصروا .. وكل ما افتكرتكم والله أدعو لكم بالتوفيق والصلاح ...
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى