جهازي مصاب

[الفارس21]

السلام عليكم ورحمة اللة وبركاتة

جهازي مصاب ودة تقرير combofix
واداة الهايجاك لاتستجيب برجاء الرد السريع

ComboFix 09-04-04.01 - اشرف 04/10/2009 7:49:22.3 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1256.1.1025.18.190.59 [GMT 2:00]
Running from: c:\documents and settings\اشرف\سطح المكتب\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated)
FW: Kaspersky Internet Security *disabled*
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\tmp.reg
.
((((((((((((((((((((((((( Files Created from 2009-03-10 to 2009-04-10 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-10 05:26 --------- d-----w c:\program files\GVR
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\CyberScrub
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\CyberScrub
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\CyberScrub
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner
2009-04-10 04:58 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner
2009-04-09 19:59 6,656 ----a-w c:\windows\system32\drivers\RKPavProc.sys
2009-04-09 19:53 --------- d-----w c:\program files\Blackstar_tech
2009-04-09 19:43 --------- d-----w c:\program files\Alfa Autorun Killer 2
2009-04-09 19:41 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner1
2009-04-09 19:41 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner1
2009-04-09 19:41 --------- d-----w c:\documents and settings\اشرف\Application Data\cleaner1
2009-04-09 19:28 --------- d-----w c:\program files\AutorunRemover
2009-04-09 19:25 --------- d-----w c:\program files\GaruYac
2009-04-09 19:21 2,560 ----a-w c:\windows\_MSRSTRT.EXE
2009-04-09 19:18 --------- d-----w c:\program files\FlashGet
2009-04-09 19:17 --------- d-----w c:\documents and settings\اشرف\Application Data\Media Player Classic
2009-04-09 19:17 --------- d-----w c:\documents and settings\اشرف\Application Data\Media Player Classic
2009-04-09 19:17 --------- d-----w c:\documents and settings\اشرف\Application Data\Media Player Classic
2009-04-09 19:15 --------- d-----w c:\program files\Ringz Studio
2009-04-09 19:15 --------- d-----w c:\program files\Common Files\Real
2009-04-09 19:15 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\IDM
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\IDM
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\IDM
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\DMCache
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\DMCache
2009-04-09 19:12 --------- d-----w c:\documents and settings\اشرف\Application Data\DMCache
2009-04-09 19:11 --------- d-----w c:\program files\Internet Download Manager
2009-04-09 19:10 --------- d-----w c:\program files\MSXML 6.0
2009-04-09 19:04 --------- d-----w c:\documents and settings\اشرف\Application Data\Winamp
2009-04-09 19:04 --------- d-----w c:\documents and settings\اشرف\Application Data\Winamp
2009-04-09 19:04 --------- d-----w c:\documents and settings\اشرف\Application Data\Winamp
2009-04-09 19:03 --------- d-----w c:\program files\Winamp
2009-04-09 18:27 --------- d-----w c:\program files\Kaspersky Lab
2009-04-09 18:05 --------- d-----w c:\program files\microsoft frontpage
2009-01-22 14:49 206,256 ----a-w c:\windows\system32\idmmbc.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [04/15/2008 12:00 PM 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [03/09/2009 10:49 PM 107520]
"StormCodec_Helper"="c:\program files\Ringz Studio\Storm Codec\StormSet.exe" [11/26/2006 08:30 PM 175181]
"RRT-Auto"="d:\\RRT (Remove Restrictions Tool) 2.exe" [09/23/2007 04:26 PM 50160]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [04/15/2008 12:00 PM 15360]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoConfigPage"= 0 (0x0)
"NoDevMgrPage"= 0 (0x0)
"NoFileSysPage"= 0 (0x0)
"NoVirtMemPage"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Winamp\\winampa.exe"=
"c:\\Program Files\\AutorunRemover\\AutorunRemover.exe"=
"c:\\Program Files\\Ringz Studio\\Storm Codec\\StormSet.exe"=
"c:\\Program Files\\Alfa Autorun Killer 2\\alfa autorun killer 2.0.exe"=
"c:\\Program Files\\Internet Download Manager\\IEMonitor.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Documents and Settings\\اشرف\\Application Data\\cleaner1\\2.exe"=
"d:\\RRT (Remove Restrictions Tool) 2.exe"=
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\gikekn.sys --> c:\windows\system32\drivers\gikekn.sys [?]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.eg/
IE: Add to Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
IE: تحميل الكل بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEGetAll.htm
IE: تحميل بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEExt.htm
IE: تحميل محتوى FLV بواسطة Internet Download Manager - c:\program files\Internet Download Manager\IEGetVL.htm
.
.
------- File Associations -------
.
txtfile=c:\windows\notepad.exe %1
.
**************************************************************************
catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-04-10 07:55:00
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(348)
c:\windows\system32\klogon.dll
.
------------------------ Other Running Processes ------------------------
.
D:\RRT (Remove Restrictions Tool) 2.exe
c:\program files\internet explorer\iexplore.exe
.
**************************************************************************
.
Completion time: 04/10/2009 7:57:49 - machine was rebooted
ComboFix-quarantined-files.txt 2009-04-10 05:57:42
ComboFix3.txt 2009-04-09 19:42:06
ComboFix2.txt 2009-04-10 05:17:48
Pre-Run: 6,826,680,320 bytes free
Post-Run: 6,829,670,400 bytes free
145

 

[الفارس21]

ودة تقرير الهايجاك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:28:32 ص, on 10/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\winampa.exe
D:\RRT (Remove Restrictions Tool) 2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\program files\Internet explorer\iexplore.exe
C:\Program Files\GVR\GVR.exe
C:\DOCUME~1\اشرف\LOCALS~1\Temp\ahhk.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
E:\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [RRT-Auto] D:\\RRT (Remove Restrictions Tool) 2.exe auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\اشرف\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\اشرف\Application Data\CyberScrub\Privacy Suite"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
--
End of file - 3201 bytes
ملحوظة مفيش برنامج حماية عايز يسطب علي الجهاز

 

[AbOdy]

اهلااا بك اخي
وعذرا بنقله للقسم المناسب للمتابعة
هذا القسم خاص بتحليل تقارير برامج الحماية ،، وباقي التقارير تكون عند الطلب فقط

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[samirzehani]

أحذف
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

 

[الفارس21]

حذفت هذة القيمة ولكن مفيش برنامج حماية عايز يسطب اية الحل

 

[AbOdy]

نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط ​

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

​

ثم
عطل استعادة النظام حسب الشرح التالي

حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل


تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

ثم قم بضغط التقرير ورفعه هنا>>>>

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم ارفع التقرير على اي مركز الرفع وارفقه




​

 

[الفارس21]

هذاالرابط لايعمل مع الشكر

 

[MMA_LORD_735]

مرحبا ً ...

يعطيك العافية حبيب عبودي ...

أي رابط ألي ما يشتغل ؟ رابط الأداءة ؟

هذاالرابط لايعمل مع الشكر

؟ ​

 

[الفارس21]

نعم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[MMA_LORD_735]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[الفارس21]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الرابط دة ايضا لايعمل عموما انا حملت الاداة من موضوع تاني وجاري الفحص ودي صورة الاداة