مشكلة عندي بسبب الفيروس win32/sality مش عارف اخلص منه

  • بادئ الموضوع بادئ الموضوع ahmedmarie
  • تاريخ البدء تاريخ البدء
  • المشاهدات 742
A

ahmedmarie

زيزوومي جديد
إنضم
8 ديسمبر 2008
المشاركات
6
مستوى التفاعل
0
النقاط
0
غير متصل
السلام عليكم ورحمة الله وبركاته
بعد بحثي الشديد على ادوات بتقوم بالغاء الفيروس win32/sality لم اجد شئ مفيد الا في المنتدى هنا يفيدني في ازاله هذا الفيروس ولكن فشلت في ازالته استخدمت ادات avg Win32Sality Remover 1.1.0.153 استخدمت ComboFix و HijackThis و المزيد ولم استطع الغي هذا الفيروس بعد اذنكم افيدوني في حل هذا الفيروس و شكررررررا....
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
اعمل التالي بالترتيب وبالضبط ,,


1
عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

2
ثم افحص جهازك بـ
الاداة من دكتور ويب للفحص والتنظيف
وتدعم العربي .. وهي سهله الاستخدام وفعاله جداً للاجهزة المصابه
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


3
استخدم هذه الاداه
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




4
تقرير هاي جاك جديد للتحليل
 
التعديل الأخير بواسطة المشرف:
توقيع : فتى الاحزان
تأييد 0
هذا تقرير الكومبو فكس

ComboFix 08-12-07.04 - starnet center 12/09/2008 17:32:51.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.188 [GMT 2:00]
Running from: e:\vip_prog\برامج الحماية ومضاد للفيروسات\فيرس الدودة\أحدث البرامج\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\kakle.dll
.
((((((((((((((((((((((((( Files Created from 2008-11-09 to 2008-12-09 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-09 15:35 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-12-09 15:35 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-12-09 15:35 2,396 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-12-09 15:35 168,480 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-12-09 08:56 --------- d-----w c:\program files\Trojan Remover
2008-12-09 08:56 --------- d-----w c:\documents and settings\starnet center\Application Data\Simply Super Software
2008-12-09 08:56 --------- d-----w c:\documents and settings\All Users\Application Data\Simply Super Software
2008-12-09 08:55 96,976 ----a-w c:\windows\system32\drivers\klin.dat
2008-12-09 08:55 87,855 ----a-w c:\windows\system32\drivers\klick.dat
2008-12-09 08:55 --------- d-----w c:\program files\Kaspersky Lab
2008-12-09 08:55 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-12-09 08:54 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-12-02 19:53 --------- d-----w c:\program files\Xilisoft
2008-12-02 19:51 90,112 ----a-w c:\windows\system32\agsaami.dll
2008-12-02 19:51 610,304 ----a-w c:\windows\system32\agsaamg.dll
2008-12-02 19:51 372,736 ----a-w c:\windows\system32\agsaamc.dll
2008-12-02 19:51 2,535,424 ----a-w c:\windows\system32\agsaamj.dll
2008-12-02 19:51 196,608 ----a-w c:\windows\system32\maag.dll
2008-12-02 19:51 1,986,560 ----a-w c:\windows\system32\akll.dll
2008-12-02 19:51 1,245,184 ----a-w c:\windows\system32\bkll.dll
2008-12-02 19:51 1,212,416 ----a-w c:\windows\system32\ckll.dll
2008-12-02 19:51 --------- d-----w c:\program files\Real_SC
2008-12-02 19:51 --------- d-----w c:\program files\FormatFactory
2008-12-02 19:51 --------- d-----w c:\program files\AnMing
2008-12-02 19:49 --------- d-----w c:\program files\Internet Download Manager
2008-12-02 19:49 --------- d-----w c:\documents and settings\starnet center\Application Data\IDM
2008-12-02 19:49 --------- d-----w c:\documents and settings\starnet center\Application Data\DMCache
2008-12-02 19:24 --------- d-----w c:\documents and settings\starnet center\Application Data\Media Player Classic
2008-12-02 19:22 --------- d-----w c:\program files\K-Lite Codec Pack
2008-12-02 19:20 --------- d-----w c:\program files\IObit
2008-12-02 19:19 --------- d-----w c:\program files\WinASO
2008-11-11 18:00 218,376 ----a-w c:\windows\system32\klogon.dll
2008-11-11 17:58 25,601 ----a-w c:\windows\system32\drivers\klopp.dat
2008-11-02 14:02 7,680 ----a-w c:\windows\system32\ff_vfw.dll
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\divx.dll
2008-09-25 08:03 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-21 19:52 82,898 ----a-w c:\windows\uninstall.exe
2008-09-21 19:48 155,995 ----a-w c:\windows\java\Packages\TB1RZRLJ.ZIP
2008-09-19 21:57 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-12 10:44 206,256 ----a-w c:\windows\system32\idmmbc.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [08/04/2004 07:56 AM 15360]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [11/25/2008 09:19 AM 935856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [11/11/2008 07:59 PM 206088]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [09/21/2008 09:58 PM 180269]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Utility Tray.lnk]
backup=c:\windows\pss\Utility Tray.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 05/11/2007 03:06 AM 113776 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 08/04/2004 07:56 AM 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IDMan]
--a------ 11/25/2008 09:19 AM 935856 c:\program files\Internet Download Manager\IDMan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 01/19/2007 12:54 PM 5752176 c:\program files\MSN Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 07/09/2001 11:50 AM 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrderReminder]
-ra------ 01/30/2006 07:00 PM 172032 c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 11/02/2004 08:24 PM 106496 c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSRaid]
--------- 12/22/2004 05:32 PM 966656 c:\program files\Silicon Integrated Systems\SiSRaidPackage\Sraid.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
--a------ 06/26/2006 03:53 PM 20005928 c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 09/21/2008 09:58 PM 180269 c:\program files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]
--a------ 12/09/2008 10:59 AM 1231752 c:\program files\Trojan Remover\Trjscan.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 03/01/2007 06:11 PM 4740600 c:\program files\Yahoo!\Messenger\YahooMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Resume copy]
--a------ 06/10/2003 05:35 PM 131072 c:\windows\copyfstq.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
-ra------ 11/10/2005 09:28 AM 49152 c:\windows\system32\SiSPower.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-r------- 11/11/2005 09:07 AM 90112 c:\windows\soundman.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"srservice"=2 (0x2)
"BITS"=3 (0x3)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Program Files\\Access Remote PC 5.1\\rpcsetup.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"e:\\vip_prog\\برامج الحماية ومضاد للفيروسات\\Kaspersky Anti-Virus 2009 New\\8.0.0.506.exe"=
"c:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"e:\\vip_prog\\برامج الحماية ومضاد للفيروسات\\فيرس الدودة\\أحدث البرامج\\ComboFix.exe"=
"e:\\vip_prog\\برامج الحماية ومضاد للفيروسات\\فيرس الدودة\\أحدث البرامج\\HijackThis\\HijackThis.exe"=
"c:\\Program Files\\Common Files\\Microsoft Shared\\Windows Live\\WLLoginProxy.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R2 Access Remote PC Service 5.1;Access Remote PC Service 5.1;"c:\program files\Access Remote PC 5.1\rpcsetup.exe" /service [2008-09-21 2220784]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lgjmlo.sys []
S3 PAC207;FlyCam USB 100 XP3;c:\windows\system32\DRIVERS\pfc027.sys [2005-01-25 154112]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - AVP
.
s of the 'Scheduled Tasks' folder
2008-09-21 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [12/19/2006 04:53 PM]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
IE: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: تحميل الكل بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEGetAll.htm
IE: تحميل بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEExt.htm
IE: تحميل محتوى FLV بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEGetVL.htm
LSP: c:\windows\system32\idmmbc.dll
TCP: {E7FCF647-1243-4C3A-AA11-254BBDABF61C} = 4.2.2.2,4.2.2.3
O16 -: Microsoft XML Parser for Java - c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
-
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-12-09 17:36:00
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'lsass.exe'(940)
c:\windows\system32\idmmbc.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\System32\PAStiSvc.exe
c:\program files\Access Remote PC 5.1\rpcgrab.exe
c:\program files\Internet Download Manager\IEMonitor.exe
.
**************************************************************************
.
Completion time: 12/09/2008 17:37:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-12-09 15:37:32
Pre-Run: 2,944,208,896 bytes free
Post-Run: 2,839,830,528 bytes free
194
 
تأييد 0
تقرير الهاي جاك
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:56:59 م, on 09/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Access Remote PC 5.1\rpcsetup.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Access Remote PC 5.1\rpcgrab.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\Program Files\TinaSoft\Easy Cafe Server\EASYSERVER.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOCUME~1\STARNE~1\LOCALS~1\Temp\winekyiju.exe
C:\DOCUME~1\STARNE~1\LOCALS~1\Temp\winvcgk.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\starnet center\Desktop\VundoFix.exe
E:\vip_prog\برامج الحماية ومضاد للفيروسات\فيرس الدودة\أحدث البرامج\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7FCF647-1243-4C3A-AA11-254BBDABF61C}: NameServer = 4.2.2.2,4.2.2.3
O23 - Service: Access Remote PC Service 5.1 - Access Remote PC (
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
) - C:\Program Files\Access Remote PC 5.1\rpcsetup.exe
O23 - Service: avp - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
--
End of file - 4457 bytes

مع العلم اني حذفت
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى