كمبيوتري ينازع الله يوفق اللي يعرف الحل

  • بادئ الموضوع بادئ الموضوع حيرة
  • تاريخ البدء تاريخ البدء
  • المشاهدات 3,058
ح

حيرة

زيزوومي جديد
إنضم
21 مارس 2009
المشاركات
28
مستوى التفاعل
0
النقاط
20
غير متصل
السلام عليكم

أكتب هذا الموضوع كآخر محاولة في جهازي. دلني عليكم قوقل وإن شاء الله تكونون فعلاً مقر الحلول يا رب.

مشكلتي بدأت من يوم ما دخلت فلاش ميموري في جهازي وهالفلاش كان راجع لي من محل أكاديمي فيه هندي والله يستر لا يكون حاطه بالعمد . طلع لي تحذير من برنامج NOD32 بوجود تروجان اسمه
Real-time file system protection file C:\WINDOWS\system32\win.exe Win32/Bifrose.NFQ trojan cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\Wscript.exe.

كان النود عندي غير محدث من فترة ولما حدثته بدت البلاوي الزرقاء وظهر لي أكثر من ألفين تحذير ومغير يحذف في الملف في قرص C و D ويرجع ويحذف ويرجع وهكذا ..

أعراض الإصابة
- إظهار الملفات المخفية تعطل
- إظهار امتداد الملفات المعروفة تعطل
- Run - regedit تعطل
- Ctrl+Alt+Del تعطل
- الإنترنت اكسبلورر صار بطيء واسمه في الشريط العلوي صار فيه زخارف وغير صفحة البدء لقوقل.

الملف اللي يحذف فيه البرنامج ورجع آلاف المرات هو التالي

Real-time file system protection file C:\autorun.inf VBS/AutoRun.BX worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\wscript.exe.

و نفسه في دي

Real-time file system protection file D:\autorun.inf VBS/AutoRun.BX worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a file modified by the application: C:\WINDOWS\system32\wscript.exe.

شغلت برنامج Hijackthis وعملت fix للبرامج المشبوهة ولازالت ترجع .

دورت عن معلومات عن الدودة هذي في النت والتروجان السبب ولا لقيت شي يفيدني في التخلص منها وتنظيف جهازي. رجاء لا أحد يطلب مني فرمته لأن فيه ملفات مهمة مقدر أجازف فيها ولا عندي لها نسخة خارجية وأخاف أنسخها على فلاش نظيف أو هاد دسك خارجي وتنتقل معها المشكلة .

_______________

هذا تقرير الهايجاك


Logfile of HijackThis v1.98.2
Scan saved at 08:57:19 م, on 21/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BandRich\BandLuxe HSDPA Utility R11\BRService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BandRich\BandLuxe HSDPA Utility R11\CManager.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\system32\wscript.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = .-~= Explorer =~-.
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RRT-Auto] C:\DOCUME~1\Hi\LOCALS~1\Temp\Rar$EX08.970\RRT.exe auto
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\win.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Program Files\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Researcher - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1BD2960-9BA8-499A-BC7F-94E65D5974D7}: NameServer = 84.23.101.84 84.23.101.85
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
اذا لم ينفع عليك ببرنامج WinASO Registry Optimizer لاصلا الريجيستى وادارة المهام
 

توقيع : سامى عبد الفتاح
تأييد 0
أخي سامي أشكرك , جربت لاصلا أدارة المهام عن فقدانها.reg ولم تنجح للأسف.
 
تأييد 0
أجرب
WinASO Registry Optimizer
وأقول لك إن شاء الله
 
تأييد 0
من بعد أذن الأخوآن ,,

أخوي طبق اللي بقولك عليييه ,, لأني أتوقع أنه فيروس سآلتي اللي عندك ,,
عطل نقطة استعادة النظام حسب الشرح التالي



dis_sys_xp.jpg


بعدها ,,


حمل اداة الكاسبر من الرابط التالي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او من هنا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


او من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي





بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل


تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير


zyzoom-3d6517b067.png


zyzoom-7717063ed7.png


zyzoom-cda271da05.png


zyzoom-26888dbf15.png


zyzoom-3f4576c288.png


ثم قوم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وبأنتظار النتائج ,,





 
التعديل الأخير بواسطة المشرف:
توقيع : Corporation
تأييد 0
أبشر
 
تأييد 0
أخوي بالنسبة لإستعادة النظام فخصائصي ظهرت بالشكل التالي

[]
ock4c7f2i.jpg




وش الدبرة ؟ ما بينهم سستم ريستور ودورت في الأكسسوريز ما لقيت شيء عن الريستور.
 
تأييد 0
أخ
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
فحصت الجهاز وهو في حال SAFE MODE لأن الفحص استغرق 12 ساعة ليصل إلى 40% فقط في التشغيل العادي حتى مع تعطيل النود. ونصيحة لكل من يفحص في السيف مود ولديه برنامج مكافح للفيروسات سابق أن يلغي تثبيت أداة الكاسبرسكاي بعد الإنتهاء لأن الوضع العادي لن يعمل معك قبل ذلك بل سيعيد النظام نفسه في كل مرة تحاول تشغيله في الوضع العادي.

هذه نتيجة الفحص :

Scanned: 326372
Detected: 0
Untreated: 0
Start time: 27/03/1430 01:19:14 م
Duration: 06:41:40
Finish time: 27/03/1430 08:00:54 م

_________

Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------
All objects 323551 0 0 0 0 3905 537 67 2
System memory 797 0 0 0 0 1 0 0 0
Startup objects 741 0 0 0 0 2 41 0 0
Disk boot sectors 3 0 0 0 0 0 0 0 0
My Computer 322010 0 0 0 0 3902 496 67 2


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Disinfect, delete if disinfection fails
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----


بالنسبة للتقرير كاملاً فلا أظنني سأضعه هنا لإحتوائه على معلومات شخصية . وإذا كان ضرورياً جداً رغم النتيجة الإيجابية فأرجو إبلاغي وسأجد طريقة لتسليمك إياه بعد إزالة معلومات الملفات الخاصة.

شكراً .

_____________


ماذا تنصحونني بخصوص نتيجة الهايجاك فأنا لا أرغب بتجربة برنامج الأخ سامي قبل التأكد من إزالة جميع الملفات الضارة.
 
تأييد 0
حمل الاداة التالية
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شغلها فتظهر لك واجهة الاداة
احتر خيار التنظيف فتظهر شاشة الدوس للفحص
اتركها حتى تنتهي ويظهر التقرير
انسخه والصقه بمشاركتك القادمة

واصلح الاستعادة حسب هذا الشرح

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
‏​
 
تأييد 0
حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



عند تشغيل الاداة نضغط كما محدد بالصورة التالية


wh_61624949.png



ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم يعاد تشغيل الجهاز
بعد اعادة التشغيل ارفع تقرير هايجاك جديد


وان شاء الله تنحل المشاكل في الريجستري
 
توقيع : shaded
تأييد 0
شكرا ماكس على المتابعة , الوندوز مثبت من الخارج وليس لدي سي ديوندوز حاولت بالطريقة الثالثة فوجدت الموقع محجوب << حالة مستعصية

هل يفترض أن أصلح استعادة النظام قبل الفحص بمكافي أم يمكنني البدء الآن ؟
 
تأييد 0
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


The file has been moved. Please enter the name of the program below, and we will locate it for you.

دخلت اسم البرنامج وكان غير موجود , أشكرك على المحاولة.
 
تأييد 0
توقيع : shaded
تأييد 0
حيرة قال:
شكرا ماكس على المتابعة , الوندوز مثبت من الخارج وليس لدي سي ديوندوز حاولت بالطريقة الثالثة فوجدت الموقع محجوب << حالة مستعصية​


هل يفترض أن أصلح استعادة النظام قبل الفحص بمكافي أم يمكنني البدء الآن ؟​
أنقر للتوسيع...

اترك اصلاح الاستعادة وابدا الفحص
 
تأييد 0
Engine Version : 5300.2777
Engine Load Time : 36182 milliseconds
AV DAT Version : 5492.0000 488805 detections Built 15 محرم, 1430
Extra DAT : 0 detections

Memory : Clean
Please wait ... building list of critical files to scan

Critical : Clean
Scanning the computer's cookie directories
Cookies : Clean
c:\hiberfil.sys : Scan Failed
c:\pagefile.sys : Scan Failed
c:\Documents and Settings\Hi\NTUSER.DAT : Scan Failed
c:\Documents and Settings\Hi\NTUSER.DAT.LOG : Scan Failed
c:\Documents and Settings\Hi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\Hi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\Documents and Settings\Hi\Local Settings\temp\Perflib_Perfdata_1d0.dat : Scan Failed
c:\Documents and Settings\LocalService\NTUSER.DAT : Scan Failed
c:\Documents and Settings\LocalService\ntuser.dat.LOG : Scan Failed
c:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\Documents and Settings\NetworkService\NTUSER.DAT : Scan Failed
c:\Documents and Settings\NetworkService\ntuser.dat.LOG : Scan Failed
c:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\WINDOWS\system32\CatRoot2\edb.log : Scan Failed
c:\WINDOWS\system32\CatRoot2\tmp.edb : Scan Failed
c:\WINDOWS\system32\config\default : Scan Failed
c:\WINDOWS\system32\config\DEFAULT.LOG : Scan Failed
c:\WINDOWS\system32\config\SAM : Scan Failed
c:\WINDOWS\system32\config\SAM.LOG : Scan Failed
c:\WINDOWS\system32\config\SECURITY : Scan Failed
c:\WINDOWS\system32\config\SECURITY.LOG : Scan Failed
c:\WINDOWS\system32\config\software : Scan Failed
c:\WINDOWS\system32\config\SOFTWARE.LOG : Scan Failed
c:\WINDOWS\system32\config\system : Scan Failed
c:\WINDOWS\system32\config\SYSTEM.LOG : Scan Failed
c:\WINDOWS\Temp\Perflib_Perfdata_4c8.dat : Scan Failed
Scanning the registry
Registry : Clean

Summary :-
FilesFound : 54681
FilesScanned : 30293
FilesNotScanned : 24388

ObjectsFound : 100908
ObjectsInfected : 0
ObjectsCleaned : 0
ObjectsDeleted : 0

FilesInfected : 0
FilesCleaned : 0
FilesMoved : 0
FilesDeleted : 0

Started at : 11:35:23 م 27 ربيع الأول, 1430
Ended at : 12:08:24 ص 28 ربيع الأول, 1430
Duration : 33 minutes 0 seconds
4420 MB scanned in 1980 seconds = 2 MB/s
Engine Version : 5300.2777
Engine Load Time : 36843 milliseconds
AV DAT Version : 5492.0000 488805 detections Built 15 محرم, 1430
Extra DAT : 0 detections


Summary :-
FilesFound : 2489
FilesScanned : 1110
FilesNotScanned : 1379

ObjectsFound : 3085
ObjectsInfected : 0
ObjectsCleaned : 0
ObjectsDeleted : 0

FilesInfected : 0
FilesCleaned : 0
FilesMoved : 0
FilesDeleted : 0

Started at : 12:09:06 ص 28 ربيع الأول, 1430
Ended at : 12:10:07 ص 28 ربيع الأول, 1430
Duration : 1 minutes 1 seconds
327 MB scanned in 61 seconds = 5 MB/s

_____________

هذا هو التقرير , أخوي ماكس بشر ؟

--------------

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



أشكرك جداً على الرابط أخوي , وأنا في إنتظار تشخيص حالة جهازي الآن للإنتقال للخطوات الإصلاحية .
 
تأييد 0
آخر التطورات :

استخدمت أداة الأخ
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
وأكتشفت إن السالفة يبغالها عين حمراء فاستخدمت برنامج الأخ سامي وعدل لي تايتل الإنترنت أكسبلورر لكن إلى الآن لازالت مشكلة التاسك منجر :( كل ما ضغطت على Ctrl+Alt+Del تطلع لي هالصورة .

5kek3h1kp.jpg



وهذا تقرير الهايجاك ... والله إن أموري كلها تعطلت بسبب هالجهاز

Logfile of HijackThis v1.98.2
Scan saved at 04:47:09 م, on 24/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BandRich\BandLuxe HSDPA Utility R11\BRService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\BandRich\BandLuxe HSDPA Utility R11\CManager.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\DOCUME~1\Hi\LOCALS~1\Temp\Rar$EX01.719\RRT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Hi\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RRT-Auto] C:\DOCUME~1\Hi\LOCALS~1\Temp\Rar$EX01.719\RRT.exe auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Researcher - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1BD2960-9BA8-499A-BC7F-94E65D5974D7}: NameServer = 84.23.101.84 84.23.101.85
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll


 
التعديل الأخير بواسطة المشرف:
تأييد 0
MAAX قال:
حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شغلها فتظهر لك واجهة الاداة
احتر خيار التنظيف فتظهر شاشة الدوس للفحص
اتركها حتى تنتهي ويظهر التقرير
انسخه والصقه بمشاركتك القادمة

واصلح الاستعادة حسب هذا الشرح


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
‏​
أنقر للتوسيع...
اخى العزيز اولا وقبل كل شىء يجب اصلاح استعاده النظام كما اشار الاخ MAAX فى مشاركته
ثم تعطيل استعاده النظام كما وضح الاخ COMPAQ99 فى مشاركته رقم 24
ثم عمل ريستارت ثم حذف القيم
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
لان الفيروس يستعيد فاعليته مره ثانيه طالما خاصيه استعاده النظام غير معطله
وبعد التخلص من هذا الفيروس يمكن عمل اصلاح الخواص المعطوبه بامان
 
تأييد 0
تابع مع خبراء المنتدى

وإن شاءالله تنحل مشكلتـــــك
 
توقيع : فاقـــد حنـــان
تأييد 0
أخي الكريم
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لوكان بيدي تعطيل استعادة النظام لفعلت ولو عدت لمشاركتي التي تلت مشاركة الأخ ماكس ستعرف أين المشكلة ولم أعمل الفحص إلا بعد سؤاله.

فاقد حنان أشكرك وعسى الله ييسر !
 
تأييد 0
أبشــــــــــركم

صلحت ظهور التاسك منجر , قلت أجرب حركة وفعلاً نجحت بفضل الله : ) ...

947sgjxgm.jpg



قلت في نفسي دام كمبو فكس طلعه من أول رغم ان عودته كانت مؤقتة ورجع واختفى بسبب الفايرس معناه يمكن يرجعه ويبقى دام الفايرس انحذف , وفعلاً عطلت النود تبعي وشغلت البرنامج وانتظرته إلين خلص بعدين عملت ريستارت وهذي النتيجة الحلوة .

يبقى الآن السؤال الأهم , هل جهازي نظيف <<< ودي أحد يجاوب بصراحة ويفهمني هل فيه باقي شيء وإلا الخطر زال وما بقى إلا تصليح السستم ريستور ؟

وإلا هالإصلاحات ما فيها فايده طالما كان الفحص بدون تعطيل استعادة النظام ؟
 
تأييد 0
اضطررت لشراء سي دي وندوز س ب 2 فقط لإصلاح السستم ريستور

أصلحته وقمت بتعطيله في هارددسك C و D ...

وأعدت الفحص بجميع البرامج المكافحة التي طرحها الإخوان فكانت نتيجة Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.35
Database version: 1904
Windows 5.1.2600 Service Pack 2

27/03/2009 05:31:06 ص
mbam-log-2009-03-27 (05-31-06).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 127323
Time elapsed: 54 minute(s), 30 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

_____________________________

التنظيف بـ McAfee

Engine Version : 5300.2777
Engine Load Time : 38555 milliseconds
AV DAT Version : 5492.0000 488805 detections Built 15 محرم, 1430
Extra DAT : 0 detections

Memory : Clean
Please wait ... building list of critical files to scan

Critical : Clean
Scanning the computer's cookie directories
Cookies : Clean
c:\hiberfil.sys : Scan Failed
c:\pagefile.sys : Scan Failed
c:\Documents and Settings\Hi\NTUSER.DAT : Scan Failed
c:\Documents and Settings\Hi\NTUSER.DAT.LOG : Scan Failed
c:\Documents and Settings\Hi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\Hi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\Documents and Settings\Hi\Local Settings\temp\Perflib_Perfdata_f78.dat : Scan Failed
c:\Documents and Settings\LocalService\NTUSER.DAT : Scan Failed
c:\Documents and Settings\LocalService\ntuser.dat.LOG : Scan Failed
c:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\Documents and Settings\NetworkService\NTUSER.DAT : Scan Failed
c:\Documents and Settings\NetworkService\ntuser.dat.LOG : Scan Failed
c:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat : Scan Failed
c:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG : Scan Failed
c:\WINDOWS\system32\config\default : Scan Failed
c:\WINDOWS\system32\config\DEFAULT.LOG : Scan Failed
c:\WINDOWS\system32\config\SAM : Scan Failed
c:\WINDOWS\system32\config\SAM.LOG : Scan Failed
c:\WINDOWS\system32\config\SECURITY : Scan Failed
c:\WINDOWS\system32\config\SECURITY.LOG : Scan Failed
c:\WINDOWS\system32\config\software : Scan Failed
c:\WINDOWS\system32\config\SOFTWARE.LOG : Scan Failed
c:\WINDOWS\system32\config\system : Scan Failed
c:\WINDOWS\system32\config\SYSTEM.LOG : Scan Failed
c:\WINDOWS\Temp\Perflib_Perfdata_46c.dat : Scan Failed
Scanning the registry
Registry : Clean

Summary :-
FilesFound : 54753
FilesScanned : 30349
FilesNotScanned : 24404

ObjectsFound : 100991
ObjectsInfected : 0
ObjectsCleaned : 0
ObjectsDeleted : 0

FilesInfected : 0
FilesCleaned : 0
FilesMoved : 0
FilesDeleted : 0

Started at : 05:34:14 ص 01 ربيع الثاني, 1430
Ended at : 06:22:50 ص 01 ربيع الثاني, 1430
Duration : 48 minutes 35 seconds
4427 MB scanned in 2915 seconds = 1555 KB/s
Engine Version : 5300.2777
Engine Load Time : 37605 milliseconds
AV DAT Version : 5492.0000 488805 detections Built 15 محرم, 1430
Extra DAT : 0 detections


Summary :-
FilesFound : 3140
FilesScanned : 1761
FilesNotScanned : 1379

ObjectsFound : 3741
ObjectsInfected : 0
ObjectsCleaned : 0
ObjectsDeleted : 0

FilesInfected : 0
FilesCleaned : 0
FilesMoved : 0
FilesDeleted : 0

Started at : 06:23:33 ص 01 ربيع الثاني, 1430
Ended at : 06:25:19 ص 01 ربيع الثاني, 1430
Duration : 1 minutes 46 seconds
327 MB scanned in 106 seconds = 3 MB/s

_________________

و Kaspersky في safe mode

Scan
----
Scanned: 328262
Detected: 0
Untreated: 0
Start time: 01/04/1430 07:03:37 ص
Duration: 06:42:34
Finish time: 01/04/1430 01:46:11 م


Detected
--------
Status Object
------ ------


Events
------
Time Name Status Reason
---- ---- ------ ------
01/04/1430 07:05:56 ص Running module: smss.exe\smss.exe ok scanned


Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------


Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Disinfect, delete if disinfection fails
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes


Quarantine
----------
Status Object Size Added
------ ------ ---- -----


Backup
------
Status Object Size
------ ------ ----


_____________________

بعدها قمت بحذف القيم التالية من خلال الهايجاك


 O13 - DefaultPrefix:

 O13 - WWW Prefix:

 O13 - Home Prefix:

 O13 - Mosaic Prefix:

 O13 - FTP Prefix:

 O13 - Gopher Prefix

رغم ذلك ورغم تعطيل استعادة النظام إلا أني وجدت هذه القيم موجودة بعد إعادة التشغيل , فما هي المشكلة الآن ؟؟؟
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى