فايروس يضرب برآمج الحمآية

  • بادئ الموضوع بادئ الموضوع Mr.YAHIA.eXe
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,310
M

Mr.YAHIA.eXe

زيزوومي نشيط
إنضم
16 سبتمبر 2008
المشاركات
146
مستوى التفاعل
1
النقاط
170
الإقامة
zyzoom
الموقع الالكتروني
www.zyzoom.org
غير متصل
بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته

انا عندي فآيروس حطمني تحطيم قوي .. وذلك لأنه .. إذآ ركبت الكاسبر .. الجهاز يطفى .. :cr:
واذا ركبت أي برنامج حماية .. لايشتغل .. وهو صآب القرص المحلي D ..

أرجوكم .. انا تعقدت .. شوفوآ لي حل .. :er: :er:

 

ترتيب حسب التاريخ ترتيب حسب الأصوات
أولا

تقرير هايجاك
حمل هذا البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغل البرنامج ==> واضغط على
Do a system scan and save log
لحظات .. ويظهر لك تقرير داخل المفكرة==> انسخه والصقه بردك القادم
ثانيا

عطل استعادة النظام

حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

zyzoom-3d6517b067.png


zyzoom-7717063ed7.png


zyzoom-cda271da05.png


zyzoom-26888dbf15.png


zyzoom-3f4576c288.png


ثم قم بضغط التقرير ورفعه بأي مووقع>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



--

بعد كل هذا تقرير هايجاك جديد


وتابع للاخر عشان تنحل مشكلتك
 
التعديل الأخير بواسطة المشرف:
توقيع : samirzehani
تأييد 0
الهايجاك ..

كود: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:23:21 ص, on 4/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\HASANA~1\LOCALS~1\Temp\eejqqh.exe
C:\DOCUME~1\HASANA~1\LOCALS~1\Temp\oeoul.exe
C:\Documents and Settings\hasan alaamer\سطح المكتب\HiJackThis.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
--
End of file - 2550 bytes
 
تأييد 0
حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...

الرابط لايعمل .. واشكرك على مسآعدتي .. الله يجعل صبآحك سعآدة .. وشكرآً
 
تأييد 0
أحذف
C:\DOCUME~1\HASANA~1\LOCALS~1\Temp\oeoul.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
C:\DOCUME~1\HASANA~1\LOCALS~1\Temp\eejqqh.exe
 
توقيع : samirzehani
تأييد 0
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنا الرابط يعمل عندي
واعذرني أنا رح أخرج تابع مع الأعضاء
 
توقيع : samirzehani
تأييد 0
اوكي يعطيك العافية .. :)
 
تأييد 0
اوكي يالغلا الحين هات تقرير جديد للهاجيك ..
 
توقيع : KoNaMi
تأييد 0
تأييد 0
يالغلا الحين هات تقرير جديد للهاجيك عشان نشوف اوضاع الجهاز وخلي اداة الكاسبر بعدين ...
 
توقيع : KoNaMi
تأييد 0
المشكلة الفايروس مايخلي الهايجاك يعمل .. الوضع متأزم
 
تأييد 0
طيب اعمل الاتي

عطل جميع برامج الحمايه >>> تأكد من وقت وتاريخ الجهاز >>> لاتغير اسم الاداة واحفضها على سطح المكتب


نزل هذه الاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
 بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
 انتظر حتى يظهر لك تقرير ،، وبذلك يكون الفحص انتهى الصق التقرير بمشاركتك القادمة



 
توقيع : KoNaMi
تأييد 0
الله يبيض وجهك .. جآري تركيب الاداة وتشغيلهـآ .. ( برب )
 
تأييد 0
اول ماشغلت الاداة .. نقزت بوجهي هـ الرسالة ../
i9200_11.PNG


علمآً ان محرك الاقراص : E هو الـCD

وماعلينا منها .. كل مانقزت بوجهي أعمل متابعة ..

والمشكلة الثانية .. بعد ماسويت العملية وكل شيء .. أحس الفآيروس أكل الادآة .. ComboFix.exe

شوف الصورة .. بدون أيقونة ..
i9201_22.PNG
.. وقبل كان بأيقونة ذآت اللون الأحمر + الأبيض


والمشكلة اني أمس رحت لـ غآزي <---= محل صيآنة خطير في تبوك
وقال لي المهندس جآويد : لابد انك تفرمت القرص الحملي ( C , D )
قلت : لامستحيل .. زيزوم بآقي عايش وعنده حلول الله يطول في أعمآركم


وهذآ التقرير بعد العملية .. /

كود: 
ComboFix 09-04-25.A3 - hasan alaamer 04/27/2009 15:56.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1256.20.1025.18.239.88 [GMT 2:00]
Running from: c:\documents and settings\hasan alaamer\سطح المكتب\ComboFix.exe
 * Created a new restore point[/COLOR]
[COLOR=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.[/COLOR]
[COLOR=red](((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.[/COLOR]
[COLOR=red]C:\autorun.inf
c:\windows\IE4 Error Log.txt
c:\windows\system32\kakle.dll
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe
D:\Autorun.inf[/COLOR]
[COLOR=red].
(((((((((((((((((((((((((   Files Created from 2009-05-27 to 2009-4-27  )))))))))))))))))))))))))))))))
.[/COLOR]
[COLOR=red]2009-04-27 12:53 . 2009-04-27 12:53 47104 ------w c:\windows\AKDeInstall.exe
2009-04-27 12:53 . 2009-04-27 12:53 -------- d-----w c:\program files\mpegable
2009-04-27 12:53 . 2009-04-27 12:53 -------- d-----w c:\program files\IMVU
2009-04-27 12:53 . 2009-04-27 12:53 -------- d-----w c:\documents and settings\All Users\Application Data\Yahoo!
2009-04-27 12:51 . 2009-04-27 12:51 -------- d-----w c:\windows\system32\RMBin
2009-04-27 12:51 . 2009-04-27 12:52 -------- d-----w c:\documents and settings\hasan alaamer\Application Data\Skype
2009-04-27 12:51 . 2009-04-27 12:51 -------- d-----w c:\windows\LastGood
2009-04-27 12:51 . 2009-04-27 12:51 -------- d-----w c:\program files\Skype
2009-04-27 12:50 . 2009-04-27 12:50 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-27 12:50 . 2009-04-27 12:50 -------- d-----w c:\program files\MSN Messenger[/COLOR]
[COLOR=red].
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-27 06:26 . 2009-04-27 06:26 -------- d-----w c:\program files\microsoft frontpage
2009-04-27 06:02 . 2009-04-27 06:02 -------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-04-27 06:00 . 2009-04-27 05:57 32 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-27 06:00 . 2009-04-27 05:57 32 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-27 06:00 . 2009-04-27 05:57 16416 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-04-27 06:00 . 2009-04-27 05:57 1136 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-04-27 05:59 . 2009-04-27 05:52 -------- d-----w c:\program files\TuneUp Utilities 2006
2009-04-27 05:57 . 2009-04-27 05:57 96559 ----a-w c:\windows\system32\drivers\klin.dat
2009-04-27 05:57 . 2009-04-27 05:57 87855 ----a-w c:\windows\system32\drivers\klick.dat
2009-04-27 05:57 . 2009-04-27 05:57 -------- d-----w c:\program files\Kaspersky Lab
2009-04-27 05:57 . 2009-04-27 05:57 -------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-04-27 05:52 . 2009-04-27 05:52 -------- d-----w c:\documents and settings\hasan alaamer\Application Data\TuneUp Software
2009-04-27 05:51 . 2009-04-27 05:51 -------- d-----w c:\program files\Java
2009-04-27 05:51 . 2009-04-27 05:51 -------- d-----w c:\program files\Common Files\Java
2009-04-27 05:50 . 2001-09-19 16:00 58586 ----a-w c:\windows\system32\perfc001.dat
2009-04-27 05:50 . 2001-09-19 16:00 328222 ----a-w c:\windows\system32\perfh001.dat
2009-04-27 05:49 . 2009-04-27 05:49 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-27 05:47 . 2009-04-27 05:47 22144 ----a-w c:\windows\system32\emptyregdb.dat
2009-04-25 10:46 . 2009-04-27 06:02 106749 --sh--r C:\npee.com
2005-01-27 23:35 . 2009-04-27 06:30 15872 ----a-w c:\documents and settings\hasan alaamer\setb5.tmp
2005-01-27 23:35 . 2009-04-27 06:27 15872 ----a-w c:\documents and settings\Administrator\setb5.tmp
2005-01-27 23:35 . 2009-04-27 05:53 15872 ----a-w c:\windows\system32\config\systemprofile\setb5.tmp
2005-01-27 23:35 . 2009-04-27 05:46 15872 ----a-w c:\documents and settings\Default User\setb5.tmp
.[/COLOR]
[COLOR=red]------- Sigcheck -------[/COLOR]
[COLOR=red][-] 2006-01-27 18:45 576512 C287C8218DAC8EE3AEF1FB2018064699 c:\windows\system32\user32.dll[/COLOR]
[COLOR=red][7] 2006-05-10 05:25 662016 4BC88C82ED023C36F906111864C16BF6 c:\windows\$hf_mig$\KB916281\SP2QFE\wininet.dll
[-] 2006-09-12 03:53 663040 705A23DCE4CDF6B3DF8DE4481250D30D c:\windows\system32\wininet.dll
[7] 2006-05-10 05:23 656896 2D38385877CB32DB7C3D2271D2DC84DB c:\windows\system32\dllcache\wininet.dll[/COLOR]
[COLOR=red][-] 2006-09-12 04:22 2155008 1724A2599CC1E79920A5991636AE3FF8 c:\windows\system32\ntkrnlpa.exe[/COLOR]
[COLOR=red][-] 2006-09-08 23:01 2276864 21512EB316451F217E65D01F7CB0D42E c:\windows\system32\ntoskrnl.exe[/COLOR]
[COLOR=red][-] 2006-09-12 03:12 1616384 810316E2E8D32075C8B984320A6011CF c:\windows\explorer.exe[/COLOR]
[COLOR=red][-] 2006-07-01 10:50 57856 AD3D9D191AEA7B5445FE1D82FFBB4788 c:\windows\system32\spoolsv.exe[/COLOR]
[COLOR=red][-] 2006-09-12 03:32 125208 B79383100A456E981C5ABA1BEAD8B035 c:\windows\system32\wuauclt.exe[/COLOR]
[COLOR=red][-] 2006-09-12 03:52 1353216 09C097450F5C7415E4AC441172ED4F61 c:\windows\system32\kernel32.dll[/COLOR]
[COLOR=red][-] 2006-07-01 10:59 1547776 5839C7D4FA3AE3ACEB7422829B010900 c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4[/COLOR]
[COLOR=red][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)[/COLOR]
[COLOR=red][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)[/COLOR]
[COLOR=red][HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)[/COLOR]
[COLOR=red][HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001[/COLOR]
[COLOR=red][HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001[/COLOR]
[COLOR=red][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)[/COLOR]
[COLOR=red][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\SOUNDMAN.EXE"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\msncall.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\WINDOWS\\system32\\igfxpers.exe"=
"c:\\DOCUME~1\\HASANA~1\\LOCALS~1\\Temp\\ajlmn.exe"=
"c:\\DOCUME~1\\HASANA~1\\LOCALS~1\\Temp\\wincnwne.exe"=
"c:\\DOCUME~1\\HASANA~1\\LOCALS~1\\Temp\\uguky.exe"=
"c:\\DOCUME~1\\HASANA~1\\LOCALS~1\\Temp\\fitc.exe"=[/COLOR]
[COLOR=red]S3 abp470n5;abp470n5; [x]
S3 ip100xp;IC Plus IP100 10/100 Fast Ethernet Adapter NT Driver;c:\windows\system32\DRIVERS\ipfnd51.sys [2005-02-02 26752][/COLOR]
[COLOR=red].
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.sa/
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\documents and settings\hasan alaamer\قائمة ابدأ\البرامج\IMVU\Run IMVU.lnk
.[/COLOR]
[COLOR=red]**************************************************************************[/COLOR]
[COLOR=red]catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [/COLOR][URL="http://www.gmer.net"][COLOR=red]http://www.gmer.net[/COLOR][/URL]
[COLOR=red]Rootkit scan 2009-04-27 15:58
Windows 5.1.2600 Service Pack 2 NTFS[/COLOR]
[COLOR=red]scanning hidden processes ...  [/COLOR]
[COLOR=red]scanning hidden autostart entries ... [/COLOR]
[COLOR=red]scanning hidden files ...  [/COLOR]
[COLOR=red]scan completed successfully
hidden files: 0[/COLOR]
[COLOR=red]**************************************************************************
.
Completion time: 2009-04-27 15:59
ComboFix-quarantined-files.txt  2009-04-27 13:59[/COLOR]
[COLOR=red]Pre-Run: 40,026,968,064 bytes free
Post-Run: 40,000,208,896 bytes free[/COLOR]
[COLOR=red]130
[/COLOR]
[COLOR=red][/COLOR] 
[COLOR=red]

وشكرآً لكم جدآً
 
تأييد 0
طيب الحين من الوضع الامن >> السيف مود هات هاجيك جديد ...
 
توقيع : KoNaMi
تأييد 0
اوكي .. برب .. ثواني ورآجع
 
تأييد 0
التقرير الجديد

كود: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:53:49 م, on 4/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\hasan alaamer\سطح المكتب\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=69157[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [URL]http://go.microsoft.com/fwlink/?LinkId=54896[/URL]
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Axis Thunk Window Wma] C:\Documents and Settings\All Users\Application Data\bits love axis thunk\more inter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [stopthird] C:\DOCUME~1\HASANA~1\APPLIC~1\BAGSAM~1\software wma memo.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\hasan alaamer\قائمة ابدأ\البرامج\IMVU\Run IMVU.lnk
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
--
End of file - 3103 bytes


ممكن تعلموني كيف أحذف القيم ؟؟ <---= نآسي الشرح هو ووجهه ..

مشكورينـ
 
تأييد 0
طيب يالغلا ابشر اعلمك بس لاهنت انسخ التقرير بدون اكواد >> اسدحه سدح هنا :hh:
 
توقيع : KoNaMi
تأييد 0
اوكي ..


======= التقرير ========

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:53:49 م, on 4/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\hasan alaamer\سطح المكتب\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Axis Thunk Window Wma] C:\Documents and Settings\All Users\Application Data\bits love axis thunk\more inter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [stopthird] C:\DOCUME~1\HASANA~1\APPLIC~1\BAGSAM~1\software wma memo.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\hasan alaamer\قائمة ابدأ\البرامج\IMVU\Run IMVU.lnk
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
--
End of file - 3103 bytes

===========================


تفضل .. ويعطيك العافية
 
تأييد 0
طيب الحين اعمل الاتي

عطل نقطة الاستعادة مثل الموجود في الشرح التالي


jpg





::::



حمل اداة الكاسبر من الرابط التالي


...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
...




بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل



تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير








zyzoom-3d6517b067.png







zyzoom-7717063ed7.png







zyzoom-cda271da05.png






zyzoom-26888dbf15.png



[/B]




zyzoom-3f4576c288.png



[/B]





ثم قوم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
[/B]




 
التعديل الأخير بواسطة المشرف:
توقيع : KoNaMi
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى