فايروس nhatquanglan

  • بادئ الموضوع بادئ الموضوع iraQia
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,156
I

iraQia

زيزوومي جديد
إنضم
21 مارس 2008
المشاركات
72
مستوى التفاعل
0
النقاط
80
الإقامة
here
غير متصل
السلام عليكم ورحمة الله وبركاته

سبق وان نزلت موضوع حول الفيروس Nhatquanglan.exe والذي ما زلت اعاني منه
ولي اخ ايضاً يعاني من نفس المشكلة دائما تظهر له هذه العبارة
Biet tin gi chua, vao day coi di
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وهذا تقرير الهاجايك :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:57 ص, on 26/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.e xe
C:\WINDOWS\system32\services.e xe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.ex e
C:\WINDOWS\System32\svchost.ex e
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.ex e
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\****\jre1.5.0_14\bin\jus ched.exe
C:\Program Files\ScanSoft\OmniPageSE\opwa re32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CNAB4RPK.E XE
C:\********s and Settings\algrem\Desktop\HiJack This.exe
C:\Program Files\Yahoo!\Messenger\YahooMe ssenger.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\DOCUME~1\algrem\LOCALS~1\Te mp\pojyin.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F2 - REG:system.ini: *****=Explorer.exe SCVHSOT.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelpe r.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\****\jre1.5.0_14\bin\ssv .dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sun****UpdateSched] "C:\Program Files\****\jre1.5.0_14\bin\jus ched.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opwa re32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.ex e
O4 - HKCU\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVHSOT.ex e
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.ex e
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVHSOT.ex e (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Window s\CurrentVersion\Policies\Syst em, DisableRegedit=1
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\****\jre1.5.0_14\bin\ssv .dll
O9 - Extra 'Tools' menuitem: Sun **** Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\****\jre1.5.0_14\bin\ssv .dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\ REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip \..\{5D1EA514-BDF9-4787-A860-A584AF44945F}: NameServer = 192.168.1.1 4.2.2.5
--
End of file - 3169 bytes

 

ترتيب حسب التاريخ ترتيب حسب الأصوات
جهازك مزرعة فايروسات اخوي


احذف هذه القيم


F2 - REG:system.ini: *****=Explorer.exe SCVHSOT.exe


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.ex e

O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.ex e


O4 - HKUS\S-1-5-18\..\Run: [Yahoo Messengger] C:\WINDOWS\system32\SCVHSOT.ex e (User 'SYSTEM')

O7 - HKCU\Software\Microsoft\Window s\CurrentVersion\Policies\Syst em, DisableRegedit=1

شرح الحذف

باستخدام اداة الهايجاك


تابع الشرح على الصور


mg%20(3).png



mg%20(4).png



وبذلك تكون تمت عملية الحذف

--

عطل استعادة النظام

حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

zyzoom-3d6517b067.png


zyzoom-7717063ed7.png


zyzoom-cda271da05.png


zyzoom-26888dbf15.png


zyzoom-3f4576c288.png


ثم قم بضغط التقرير ورفعه بأي مووقع>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



--

بعد كل هذا تقرير هايجاك جديد


وتابع للاخر عشان تنحل مشكلتك​
 
توقيع : البارون
تأييد 0
بالنسبه لي اخوكي خليه يسوي الاتي

نزل هذه الاداة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
 بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
 انتظر حتى يظهر لك تقرير ،، وبذلك يكون الفحص انتهى الصق التقرير بمشاركتك القادمة


وانتي تابعي معي في موضوعك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 
توقيع : KoNaMi
تأييد 0
المعذرة يابعدي البارون ماشفت ردك ...
 
توقيع : KoNaMi
تأييد 0
و عليكم السلام و رحمة الله و بركته ...

حياك الله ...

أخي أنت مو بس عندك فايروس ...

أنت عندك مصايب بلجهاز ...

لحين أترك الهايجك و سوي التالي ...

أولا عطل نقطة أستعادة النظام حسب الشرح ...

zyzoom-a2f2d2d20f.png



ثم ...

zyzoom-7c6c6b5f26.png


ثم تظهر لنا رسالة ...

zyzoom-1cefa66df6.png



حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير


zyzoom-7ce8879e89.png


zyzoom-cdd75c8aa3.png


zyzoom-89156f000e.png


zyzoom-6d533c4f2e.png


zyzoom-f20f3644d0.png


ثم قم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




و عند تحديد الأقراص ...

>> حدد جميــــع الأقراص ...

+

أذا مركز التحميل ما نفعت معك ...

أستخدم الزيد شير أو لرابط شير ...

أو أي مركز تحميل ...

و بلنسبة للمشكلة أخوك ...

وين تظهر الرسالة ؟ يعني في أي وقت ؟

 
توقيع : MMA_LORD_735
تأييد 0
عزرا ً من الجميع حبايبي ...

الله يعطيون العافية ماشفت ردكون :) ...
 
توقيع : MMA_LORD_735
تأييد 0
توقيع : KoNaMi
تأييد 0
السلام عليكم اخوتي
شكرا الكم على المساعدة
والله يبارك فيكم
انا صاحب المشكله الي طرحتها اختي لكم
وهذا التقرير الثاني الي طلبتموه مني


ComboFix 09-04-25.A3 - algrem 04/26/2009 3:16.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.964.1033.18.511.200 [GMT -7:00]
Running from: f:\برامج\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\autorun.inf
C:\i.cmd
C:\ncyrf.bat
c:\windows\hinhem.scr
c:\windows\IE4 Error Log.txt
c:\windows\SCVHSOT.exe
c:\windows\system32\autorun.ini
c:\windows\system32\blastclnnn.exe
c:\windows\system32\gasretyw0.dll
c:\windows\system32\kamsoft.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe
c:\windows\system32\SCVHSOT.exe
c:\windows\system32\setting.ini
D:\1gk8ha.bat
D:\2.bat
D:\i.cmd
D:\iqe68o.bat
D:\ncyrf.bat
D:\vva0hc0p.cmd
E:\1gk8ha.bat
E:\2.bat
E:\Autorun.inf
E:\i.cmd
E:\iqe68o.bat
E:\ncyrf.bat
E:\vva0hc0p.cmd
F:\1gk8ha.bat
F:\2.bat
F:\i.cmd
F:\iqe68o.bat
F:\ncyrf.bat
F:\vva0hc0p.cmd
G:\1gk8ha.bat
G:\2.bat
G:\i.cmd
G:\iqe68o.bat
G:\ncyrf.bat
G:\vva0hc0p.cmd
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_ASC3360PR
-------\Service_asc3360pr

((((((((((((((((((((((((( Files Created from 2009-05-26 to 2009-4-26 )))))))))))))))))))))))))))))))
.
2009-04-25 05:03 . 2009-04-25 05:02 106749 --sh--r C:\npee.com
2009-04-24 17:46 . 2009-04-24 17:45 109167 --sh--r C:\vwewav8.com
2009-04-19 04:35 . 2009-04-19 04:35 -------- d-----w c:\windows\Sun
2009-04-17 03:13 . 2009-04-17 03:13 108169 --sh--r C:\husyu8n.exe
2009-04-03 10:59 . 2009-04-03 10:59 0 ----a-w c:\windows\nsreg.dat
2009-04-03 10:59 . 2009-04-03 10:59 -------- d-----w c:\documents and settings\algrem\Local Settings\Application Data\Mozilla
2009-04-02 21:52 . 2009-04-02 21:52 -------- d-----w C:\HUAWEI
2009-04-02 21:52 . 2004-12-08 08:24 14336 ----a-r c:\windows\system32\drivers\umpf3410.i51
2009-04-02 21:52 . 2004-11-01 15:00 76768 ----a-r c:\windows\system32\drivers\umpusbxp.sys
2009-04-02 02:46 . 2009-04-06 21:14 -------- d-----w c:\documents and settings\algrem\Application Data\Canon
2009-04-02 02:46 . 2004-08-04 06:58 15104 ----a-w c:\windows\system32\drivers\usbscan.sys
2009-04-02 02:44 . 1996-07-01 08:00 77312 ----a-w c:\windows\system32\TWAIN_32.DLL
2009-04-02 02:44 . 1995-07-31 21:44 212480 ----a-w c:\windows\system32\PCDLIB32.DLL
2009-04-02 02:42 . 2009-04-02 02:44 -------- d-----w c:\documents and settings\algrem\Application Data\Arcsoft
2009-04-02 02:38 . 2009-04-02 02:38 -------- d-----w c:\documents and settings\algrem\Application Data\ScanSoft
2009-04-02 02:38 . 2009-04-02 02:38 -------- d-----w c:\documents and settings\All Users\Application Data\SSScanWizard
2009-04-02 02:38 . 2009-04-02 02:38 -------- d-----w c:\documents and settings\All Users\Application Data\SSScanAppDataDir
2009-04-02 02:38 . 2009-04-02 02:38 525 ----a-w c:\windows\MAXLINK.INI
2009-04-02 02:38 . 2009-04-02 02:38 -------- d-----w c:\program files\Common Files\ScanSoft Shared
2009-04-02 02:38 . 2009-04-02 02:38 -------- d-----w c:\program files\ScanSoft
2009-04-02 02:37 . 2009-04-02 02:44 -------- d-----w c:\program files\ArcSoft
2009-04-02 02:37 . 1999-05-26 17:46 212480 ----a-w c:\windows\pcdlib32.dll
2009-04-02 02:36 . 2009-04-02 02:36 -------- d-----w c:\windows\Profiles
2009-04-02 02:36 . 2009-04-02 02:36 -------- d-----w c:\windows\system32\Adobe
2009-04-02 02:36 . 2009-04-02 02:36 -------- d-----w c:\program files\Common Files\Adobe
2009-04-02 02:36 . 2009-04-02 02:36 -------- d-----w c:\documents and settings\algrem\Application Data\InterTrust
2009-04-02 02:36 . 1998-11-17 19:44 328704 ----a-w c:\windows\IsUn0407.exe
2009-04-02 02:35 . 2009-04-02 02:35 -------- d--h--w C:\CanoScan
2009-04-02 02:35 . 2003-09-18 01:35 339968 ----a-w c:\windows\system32\N067UFW.DLL
2009-04-02 02:35 . 2002-09-12 09:07 36864 ----a-w c:\windows\system32\CNQU70.DLL
2009-04-02 02:35 . 2002-05-24 11:04 389180 ----a-w c:\windows\system32\UCS32P.DLL
2009-03-28 07:43 . 2009-03-28 07:43 -------- d-s---w c:\documents and settings\algrem\UserData
2009-03-27 23:29 . 2009-03-27 23:29 -------- d-----w c:\documents and settings\algrem\Contacts
2009-03-27 23:28 . 2009-03-27 23:28 -------- d-----w c:\documents and settings\algrem\Local Settings\Application Data\Yahoo
2009-03-27 19:09 . 2007-10-18 19:20 101120 ----a-r c:\windows\system32\drivers\hwusbser.sys
2009-03-27 19:09 . 2007-10-18 19:19 2560 ----a-r c:\windows\system32\SHCDMACoInstaller.dll
2009-03-27 19:08 . 2009-03-27 19:13 -------- d-----w c:\program files\Mobile Partner
2009-03-27 11:16 . 2009-03-27 11:16 -------- dc----w c:\windows\system32\DRVSTORE
2009-03-27 11:15 . 2009-03-27 11:15 -------- d-----w c:\program files\Windows Live
2009-03-27 11:15 . 2007-10-05 11:17 49265 ----a-w c:\windows\system32\jpicpl32.cpl
2009-03-27 11:14 . 2009-03-27 11:15 -------- d-----w c:\program files\Java
2009-03-27 11:14 . 2009-03-27 11:14 -------- d-----w c:\program files\Common Files\Java
2009-03-27 11:14 . 2009-03-27 11:14 -------- d-----w c:\documents and settings\algrem\Local Settings\Application Data\Sun
2009-03-27 11:14 . 2009-03-27 11:14 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo!
2009-03-27 11:13 . 2009-03-27 11:13 -------- d-----w c:\program files\Yahoo!
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-13 00:36 . 2009-03-18 21:29 -------- d-----w c:\program files\HTML Help Workshop
2009-04-13 00:36 . 2009-03-18 21:27 -------- d-----w c:\program files\Microsoft Visual FoxPro 7
2009-04-02 21:52 . 2009-03-18 21:41 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-02 02:39 . 2009-03-18 23:15 -------- d-----w c:\program files\Canon
2009-03-25 04:33 . 2009-03-25 04:33 -------- d-----w c:\program files\مجلد جديد
2009-03-23 00:02 . 2009-03-20 02:44 -------- d-----w c:\program files\USB Disk Security
2009-03-19 23:15 . 2009-03-19 23:15 -------- d-----w c:\documents and settings\All Users\Application Data\Network Associates
2009-03-19 23:15 . 2009-03-19 23:15 -------- d-----w c:\program files\Network Associates
2009-03-19 23:15 . 2009-03-19 23:15 -------- d-----w c:\program files\Common Files\Network Associates
2009-03-19 05:51 . 2009-03-19 05:51 -------- d-----w c:\documents and settings\algrem\Application Data\COWON
2009-03-18 23:29 . 2009-03-18 21:10 94632 ----a-w c:\documents and settings\algrem\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-18 23:10 . 2009-03-18 23:10 -------- d-----w c:\program files\Microsoft.NET
2009-03-18 23:09 . 2009-03-18 23:09 -------- d-----w c:\program files\Microsoft Works
2009-03-18 21:47 . 2009-03-18 21:47 -------- d-----w c:\program files\Intel
2009-03-18 21:46 . 2009-03-18 21:40 -------- d-----w c:\program files\Common Files\InstallShield
2009-03-18 21:44 . 2009-03-18 21:44 -------- d-----w c:\program files\Nokia
2009-03-18 21:44 . 2009-03-18 21:44 -------- d-----w c:\program files\Common Files\Nokia
2009-03-18 21:42 . 2009-03-18 21:42 4608 ----a-w c:\windows\system32\W95INF32.DLL
2009-03-18 21:42 . 2009-03-18 21:42 2272 ----a-w c:\windows\system32\W95INF16.DLL
2009-03-18 21:42 . 2009-03-18 21:42 414272 ----a-w c:\windows\system32\DivXc32f.dll
2009-03-18 21:42 . 2009-03-18 21:42 414272 ----a-w c:\windows\system32\DivXc32.dll
2009-03-18 21:42 . 2009-03-18 21:42 -------- d-----w c:\program files\DivX_311alpha
2009-03-18 21:42 . 2009-03-18 21:42 -------- d-----w c:\program files\Global DiVX
2009-03-18 21:41 . 2009-03-18 21:41 -------- d-----w c:\program files\JetAudio
2009-03-18 21:19 . 2009-03-18 20:59 166455 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-03-18 21:00 . 2009-03-18 21:00 -------- d-----w c:\program files\microsoft frontpage
2009-03-18 20:56 . 2009-03-18 20:56 21640 ----a-w c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\userinit.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\usnsvc.exe"=
"c:\\Program Files\\WinRAR\\WinRAR.exe"=
"c:\\WINDOWS\\SOUNDMAN.EXE"=
R3 SetupNTGLM7X;SetupNTGLM7X; [x]
S3 hwmobile;Huawei Mobile USB Modem and USB Serial;c:\windows\system32\DRIVERS\hwusbser.sys [2007-10-18 101120]

--- Other Services/Drivers In Memory ---
*NewlyCreated* - ASC3360PR
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66d8419a-1407-11de-992e-0013d3abb2f4}]
\Shell\AutoRun\command - I:\i.cmd
\Shell\open\Command - I:\i.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ac4c68ab-3178-11de-949d-be85cc8f8677}]
\Shell\AutoRun\command - I:\npee.com
\Shell\open\Command - I:\npee.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b30645ca-2913-11de-946c-8db7dd7c26cd}]
\Shell\AutoRun\command - I:\i.cmd
\Shell\open\Command - I:\i.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b30645cb-2913-11de-946c-8db7dd7c26cd}]
\Shell\AutoRun\command - J:\ncyrf.bat
\Shell\explore\Command - J:\ncyrf.bat
\Shell\open\Command - J:\ncyrf.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9ebcf5c-173e-11de-944a-0013d3abb2f4}]
\Shell\AutoRun\command - I:\npee.com
\Shell\open\Command - I:\npee.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdef28ee-2cf2-11de-947c-b764e617c6ce}]
\sheLL\AuTOplaY\cOmmanD - I:\owwm.pif
\sheLL\AutoRun\command - I:\owwm.pif
\sheLL\ExploRe\ComMAnD - I:\owwm.pif
\sheLL\open\cOmMaNd - I:\owwm.pif
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c942a5c4-2572-11de-9461-87fb6eecd6ce}]
\Shell\autOplAy\command - I:\hnrf.cmd
\Shell\AutoRun\command - I:\hnrf.cmd
\Shell\Explore\CommaNd - I:\hnrf.cmd
\Shell\OpEn\CommanD - I:\hnrf.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cc193189-1b02-11de-944b-c6b316575074}]
\Shell\AutoRun\command - I:\1ogf.exe
\Shell\open\Command - I:\1ogf.exe
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
IE: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\algrem\Application Data\Mozilla\Firefox\Profiles\lpt6kbbe.default\
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPJPI150_14.dll
FF - plugin: c:\program files\Java\jre1.5.0_14\bin\NPOJI610.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-04-26 03:19
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'explorer.exe'(2384)
c:\program files\ScanSoft\OmniPageSE\ophook32.dll
c:\program files\WinRAR\rarext.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\SOUNDMAN.EXE
c:\program files\Java\jre1.5.0_14\bin\jusched.exe
c:\program files\ScanSoft\OmniPageSE\opware32.exe
c:\windows\system32\CNAB4RPK.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-04-26 3:22 - machine was rebooted
ComboFix-quarantined-files.txt 2009-04-26 10:22
Pre-Run: 3,840,032,768 bytes free
Post-Run: 3,869,016,064 bytes free
236
 
تأييد 0
طيب الحين يالغلا تقرير جديد للهاجيك ...
 
توقيع : KoNaMi
تأييد 0
KoNaMi قال:
طيب الحين يالغلا تقرير جديد للهاجيك ...
أنقر للتوسيع...


تقرير هايجاك
حمل هذا البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغل البرنامج ==> واضغط على
Do a system scan and save log
لحظات .. ويظهر لك تقرير داخل المفكرة==> انسخه والصقه بردك القادم
 
التعديل الأخير بواسطة المشرف:
توقيع : البارون
تأييد 0
اخواني عذرا مو قابل يحمل اداة الكاسبر
 
تأييد 0
السلام عليكم وعذرا من الأخوة
حمل هذه الأداة واعمل بها سكان
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 
توقيع : samirzehani
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى