ما الحل مع فايروس win32 \sality

alshopaky · 11 مارس 2009

السلام عليكم
اخوانى انا عندى فيرس
win32 \sality ودمرر لى معظم ملفات الexe وبوظلى مكافحات الفيروسات وعملت سكان بكل من الاتى

TREND MICRO INTERNET SECURITY
PANDA2009 الفيرس بوظه ومش رضى يشتغل
والنوروتون مش راضى يستطب واخيرا نزلت ESET SMART 4 وطلع كتيييييييييييييييييييييير
وكل ما اعمل سكان الاقى الفيرس وسطبت ويندوز برده رجع ؟؟؟؟ فما الحل وارجو التجاوب سريعا لان لدى اعمال مهمة جد اريد ان انجزها بقالى 3 ايام بصلح فى الجهاز والله والمستعان !!!!!!!!

alshopaky · 12 مارس 2009

Demo-dash قال:
هو يحذف الفايروس ويعمل له نسخه احتياطيه بالكوارنتين

لا مش حيرجعوا اخي .. طالما انت معطل استعادة النظام

اخى انا قمت بتحميل اداة الكسبر وعمل فحص مثل ماقلت وهذا التقرير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او هنا لانى رفعته على انه صور

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وده تقرير الهيجاك بعد انهاء الفحص بالكيبر تول

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:56:57 AM, on 3/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Simple DNS Plus\sdnsmain.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ABCDEFG\Desktop\rmsality.exe
C:\Documents and Settings\ABCDEFG\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: is-1ECOE.lnk = C:\Documents and Settings\ABCDEFG\Desktop\Virus Removal Tool\is-1ECOE\startup.exe
O4 - Startup: StopCut home.lnk = C:\Program Files\stopcut\StopCut home.url
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: تحميل ملفات FLV الـ 10 الأخيرة بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL2.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D03E7357-2CD8-4927-8349-408D4A16247F}: NameServer = 127.0.0.1,0.0.0.0
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing)
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Simple DNS Plus (sdnsplus) - JH Software ApS - C:\Program Files\Simple DNS Plus\sdnsmain.exe

--
End of file - 4661 bytes

alshopaky · 12 مارس 2009

الاخ الفاضل كراك الفيستا قمت بعمل سكان بالاداة ولم يكتشف شىء ؟؟؟ ومنتظر تحليل التقارير من الاخوة جزيتم خيرا

كراك الفيستا · 12 مارس 2009

كراك الفيستا قال:
واذا لم تنفع الطرق كلها ققم بفرمته الاقراص دي والاقراص الاخرى واترك القرص سي او الي في الويندوز ..

طبعا لا تنقل اي ملف مصاب ..

بعد ما تفرمت جميع الاقراص

قم بادخال cd الويندوز ثم فرمته الجهاز ..

وان شاء الله تروح المشكلة ..

مالك الا كذا اجل اخوي

وان شاء الله الاخوان يفيدونك ..

alshopaky · 12 مارس 2009

كراك الفيستا قال:
مالك الا كذا اجل اخوي

وان شاء الله الاخوان يفيدونك ..

اضحك الله سنك اخى افرمت الهرد دا انا عندى دروس لاتقدر بثمن
جزيت عنى خيرا
منتظر الاخوان

كراك الفيستا · 12 مارس 2009

alshopaky قال:
اضحك الله سنك اخى افرمت الهرد دا انا عندى دروس لاتقدر بثمن
جزيت عنى خيرا
منتظر الاخوان

:d:

طيب اخي

الدروس انقلها الى سيدي او فلاش مومري حلو

واذا عندك جهاز ثاني او جهاز غير جهازك المصاب

قم بادخال السيدي او الفلاش مومري وقم بفصحة اذا اكتشف شيء برنامج الحماية احذفة

ثم طبق نفس ما قلت سو تهيئة للاقراص ثم اعمل فورمات للجهاز

alshopaky · 12 مارس 2009

كراك الفيستا قال:
:d:

طيب اخي

الدروس انقلها الى سيدي او فلاش مومري حلو

واذا عندك جهاز ثاني او جهاز غير جهازك المصاب

قم بادخال السيدي او الفلاش مومري وقم بفصحة اذا اكتشف شيء برنامج الحماية احذفة

ثم طبق نفس ما قلت سو تهيئة للاقراص ثم اعمل فورمات للجهاز

لا يوجد الا جهازى فقط ولا استطيع فعلى اى شىء من هذا

k::no:
طيب ما تحللى التقرير ده علشان اشوف انزل ويندوز وخلص

كراك الفيستا · 12 مارس 2009

alshopaky قال:
لا يوجد الا جهازى فقط ولا استطيع فعلى اى شىء من هذا k::no:
طيب ما تحللى التقرير ده علشان اشوف انزل ويندوز وخلص

انا شنب وانا اخوك :d:

انا حللته حتى انه مشتبة في ملف النظام الاكسبلورير

المشكلة الحين لو تحفظ ملفاتك الي تقولها في سيدي ولا فلاش مومري وتفحصها بعد الفورمات يكون افضل

ولا تنسى قبل الفورمات تسوي تهيئة للاقراص الثانية مثل الدي والاقراص الاخرى ..

k:

alshopaky · 12 مارس 2009

كراك الفيستا قال:
انا شنب وانا اخوك :d:

انا حللته حتى انه مشتبة في ملف النظام الاكسبلورير

المشكلة الحين لو تحفظ ملفاتك الي تقولها في سيدي ولا فلاش مومري وتفحصها بعد الفورمات يكون افضل

ولا تنسى قبل الفورمات تسوي تهيئة للاقراص الثانية مثل الدي والاقراص الاخرى .. k:

يعنى ايه مشتبه فى ملف لاكسبلورر ؟؟؟ انت مصمم على الفرمته ليش مش عارف باين عليك بتختار اسهل الحلول يالغالى بارك الله فيكم
انا هتوكل على الله وااسطب ويندوز جديد وربنا ييسر دعواتكم ولننا عودة باذن الرحمن هنا بس افحص فى المعمل التقارير كويس على ما ارجع ( ابتسامه .....لا تغضب امزح معك ......)))

k:

كراك الفيستا · 12 مارس 2009

alshopaky قال:
يعنى ايه مشتبه فى ملف لاكسبلورر ؟؟؟ انت مصمم على الفرمته ليش مش عارف باين عليك بتختار اسهل الحلول يالغالى بارك الله فيكم
انا هتوكل على الله وااسطب ويندوز جديد وربنا ييسر دعواتكم ولننا عودة باذن الرحمن هنا بس افحص فى المعمل التقارير كويس على ما ارجع ( ابتسامه .....لا تغضب امزح معك ......)))k:k:k:k:

:d: :d:

لا تنسى تسوي تهيئة للاقراص الاخرى بعد نقل ما تريدة في سيدي

انصحك تسوي تهيئة سريعة

بعدها سو فورمات وصل الله وبارك :d:

ashalshaikh · 12 مارس 2009

آسف على المقاطعة ,, ولكن حصل أن صابني هذا الفيروس من قبل ,,
فحبيت أن أعطيك تجربتي معاه ,, وكيف أزلته ,, والخيار لك ,,
أولا الفيروس خرب جميع الملفات التشغيلية ,, وجميع البرامج المثبة والغير مثبتة ,, وخرب النظام ,,, والوضع الآمن ,,, والإنترنت ,,, والدوس وخيارات المجلدات ,, وإدارة المهام ,, وخيارات النظام ,, ولوحة التحكم ,,
يعني ما خلالي شي عليه ,,
,,,
إسمع أخي ,,
أولا :: نسخت الملفات اللي أبيها على القرص دي أو أي قرص غير النظام ,,
ثانيا :: قمت بعمل فورمات للنظام ,,, وثبته من جديد ,,
تحذير ::: لا تقترب من شي إسمه جهاز الكمبيوتر إلين تخلص ,,ولا تدخل فلاش (( ميموري كارد)) ,, لأن الفيروس ملغم كل شي ,,

ثالثا :: عطل إستعادة النظام ,,
رابعا :: نزل أداة الكاسبر من جديد ومن موقعها ,, واعمل فحص شامل كااااااااااااااااااااااااااااااااااااااااامل ,,, بالشرح السابق ,,
خامسا :: أدخل منتدى زيزوووم واخترلك برنامج حماية حليوة ,,, واعمل فحص شامل كااااااااااااااااااااااااااااااااااااااااااااامل ,,

سادسا :: الآن الجهاز نظيف ,,, انقل الملفات التي نجت من الفيروس من القرص دي إلى سطح المكتب وانتهينا ,,,

تحياتي .,,

Demo-dash · 12 مارس 2009

من تقرير الهاي جاك احذف

F2 - REG:system.ini: Shell=Explorer.exe

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

طريقة الحذف

ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

ثم اشبك اي فلاش او اي هارد خارجي بالجهاز وافحص جهازك بـ

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد كذا راح يروح الفايروس ان شاء الله

البارون · 12 مارس 2009

اخوي لو بحثت في المنتدي هذا موضوع خاص بفايروس sailty

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

فيه ملاحظة : بعد استخدام الاداة الاولى في الموضوع روح وافرغ سلة المحذوفات وسوي تطهير مو حذف لاي شيء موجود على الجهاز

alshopaky · 12 مارس 2009

ashalshaikh قال:
آسف على المقاطعة ,, ولكن حصل أن صابني هذا الفيروس من قبل ,,

فحبيت أن أعطيك تجربتي معاه ,, وكيف أزلته ,, والخيار لك ,,
أولا الفيروس خرب جميع الملفات التشغيلية ,, وجميع البرامج المثبة والغير مثبتة ,, وخرب النظام ,,, والوضع الآمن ,,, والإنترنت ,,, والدوس وخيارات المجلدات ,, وإدارة المهام ,, وخيارات النظام ,, ولوحة التحكم ,,
يعني ما خلالي شي عليه ,,
,,,
إسمع أخي ,,
أولا :: نسخت الملفات اللي أبيها على القرص دي أو أي قرص غير النظام ,,
ثانيا :: قمت بعمل فورمات للنظام ,,, وثبته من جديد ,,

تحذير ::: لا تقترب من شي إسمه جهاز الكمبيوتر إلين تخلص ,,

ولا تدخل فلاش (( ميموري كارد)) ,, لأن الفيروس ملغم كل شي ,,

ثالثا :: عطل إستعادة النظام ,,
رابعا :: نزل أداة الكاسبر من جديد ومن موقعها ,, واعمل فحص شامل كااااااااااااااااااااااااااااااااااااااااامل ,,, بالشرح السابق ,,
خامسا :: أدخل منتدى زيزوووم واخترلك برنامج حماية حليوة ,,, واعمل فحص شامل كااااااااااااااااااااااااااااااااااااااااااااامل ,,

سادسا :: الآن الجهاز نظيف ,,, انقل الملفات التي نجت من الفيروس من القرص دي إلى سطح المكتب وانتهينا ,,,

تحياتي .,,

تم والحمد لله ونضف الجهاز بارك الله فيكم

alshopaky · 12 مارس 2009

demo-dash قال:
من تقرير الهاي جاك احذف

f2 - reg:system.ini: Shell=explorer.exe

f2 - reg:system.ini: Userinit=userinit.exe

o2 - bho: Wormradar.com iesiteblocker.navfilter - {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll (file missing)

o4 - hkus\s-1-5-19\..\runonce: [nlsf] cmd.exe /c move /y "%systemroot%\system32\syssetub.dll" "%systemroot%\system32\syssetup.dll" (user 'local service')

o4 - hkus\s-1-5-20\..\runonce: [nlsf] cmd.exe /c move /y "%systemroot%\system32\syssetub.dll" "%systemroot%\system32\syssetup.dll" (user 'network service')

o4 - hkus\s-1-5-18\..\runonce: [nlsf] cmd.exe /c move /y "%systemroot%\system32\syssetub.dll" "%systemroot%\system32\syssetup.dll" (user 'system')

o4 - hkus\.default\..\runonce: [nlsf] cmd.exe /c move /y "%systemroot%\system32\syssetub.dll" "%systemroot%\system32\syssetup.dll" (user 'default user')

طريقة الحذف

ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,

عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

وعند ظهور هذه الشاشه ,, اضغط على close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

ثم اشبك اي فلاش او اي هارد خارجي بالجهاز وافحص جهازك بـ

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد كذا راح يروح الفايروس ان شاء الله

جزاكم الله خيرا لكنى نزلت ويندوز جديد وعملت فحص بالنود 4 ولم يجد شىء
واحس ان الجهاز تمام
وهذا تقرير للهاىجاك الان ارجو فحصة للتاكد من ان الجهاز نظيف وجيد

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:26:46 PM, on 3/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ping.exe
C:\Program Files\netcut\netcut.exe
C:\Documents and Settings\ANAMOSLEM\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\SiCoDriVeT\vsdrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: CloCk.lnk = C:\Program Files\LClock\LClock.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: تحميل ملفات FLV الـ 10 الأخيرة بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL2.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0E18036-CF2E-48C3-A1F9-89E790DA3918}: NameServer = 217.52.47.130,217.52.47.140
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
--
End of file - 5801 bytes

alshopaky · 12 مارس 2009

البارون قال:
اخوي لو بحثت في المنتدي هذا موضوع خاص بفايروس sailty

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

فيه ملاحظة : بعد استخدام الاداة الاولى في الموضوع روح وافرغ سلة المحذوفات وسوي تطهير مو حذف لاي شيء موجود على الجهاز

بارك الله فيكم وجزاكم الله خيراا حلت المشكلة بفضل الله

كراك الفيستا · 12 مارس 2009

اذا حليت المشكلة من غير الفورمات يا ليت تعطينا الحل علشان في المستقبل لو واحد اشتكى من هالفايروس نعطيه طريقتك في قتل هالفايروس ..

اما تقريرك ..

اول شيء عطل استعادة النظام ثم

قم بحذف ..

O17 - HKLM\System\CCS\Services\Tcpip\..\{C0E18036-CF2E-48C3-A1F9-89E790DA3918}: NameServer =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

كراك الفيستا قال:
طريقة الحذف

ثم انزلي هالاداه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق ويندوزاكس بي فقط

الشرح

شغل الملف ثم تظهر هالشاشة

عند ظهور هذه الشاشة اضغطي على close بيسوي اعادة تشغيل لجهازك لتكملة عملية التنظيف

..

ثم اعمل اعادة تشغيل للجهاز ثم شغل استعادة النظام

..

كراك الفيستا · 12 مارس 2009

نسيت اقولك بعد اعادة تشغيل الجهاز عطني تقرير جديد للهايجاك ..

alshopaky · 12 مارس 2009

كراك الفيستا قال:
نسيت اقولك بعد اعادة تشغيل الجهاز عطني تقرير جديد للهايجاك ..

انت متاكد انى احذف نفس القيمة دى ارقام dns تبعى ؟؟؟؟؟؟؟؟؟؟؟؟

alshopaky · 12 مارس 2009

حذفت القيمة ودى فصلت النت عندى لانها ارقام الدنس يعنى مافيهاش شىء وده تقرير بعد عمل ريستارت بسبب اداة التنظيف .؟؟؟؟؟؟؟

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:59:48 PM, on 3/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Documents and Settings\ANAMOSLEM\Desktop\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\SiCoDriVeT\vsdrv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\ANAMOSLEM\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\ANAMOSLEM\Application Data\CyberScrub\Privacy Suite"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: CloCk.lnk = C:\Program Files\LClock\LClock.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: تحميل ملفات FLV الـ 10 الأخيرة بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL2.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0E18036-CF2E-48C3-A1F9-89E790DA3918}: NameServer = 217.52.47.140
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 6002 bytes

Demo-dash · 12 مارس 2009

الله يعطيكم العافيه

فعلا هذي القيمه لاتحذف

O17 - HKLM\System\CCS\Services\Tcpip\..\{C0E18036-CF2E-48C3-A1F9-89E790DA3918}: NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لان حذفها راح يفقدك اتصالك بالنت

----

والحمدلله انه تم تنظيف جهازك بنجاح

زيزوومي نشيط

توقيع : alshopaky

زيزوومي نشيط

توقيع : alshopaky

زيزوومي نشيط

توقيع : alshopaky

زيزوومى مميز

زيزوومي نشيط

توقيع : alshopaky

زيزوومى مميز

زيزوومي نشيط

توقيع : alshopaky

زيزوومى مميز

زيزوومي نشيط

توقيع : alshopaky

زيزوومى مميز

زيزوومى فضى

توقيع : ashalshaikh

داعم للمنتدى،(خبراء زيزووم )

توقيع : Demo-dashDemo-dash is verified member.

زيزوومى فضى

توقيع : البارون

زيزوومي نشيط

توقيع : alshopaky

زيزوومي نشيط

توقيع : alshopaky

زيزوومي نشيط

توقيع : alshopaky

زيزوومى مميز

زيزوومى مميز

زيزوومي نشيط

توقيع : alshopaky

زيزوومي نشيط

توقيع : alshopaky

داعم للمنتدى،(خبراء زيزووم )

توقيع : Demo-dashDemo-dash is verified member.

توقيع : Demo-dash

توقيع : Demo-dash