كيفية حذف الـWinPC Defender

  • بادئ الموضوع بادئ الموضوع Crazy 4 you
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,473
C

Crazy 4 you

زيزوومى متألق
إنضم
7 أبريل 2008
المشاركات
394
مستوى التفاعل
6
النقاط
470
الإقامة
K.S.A
غير متصل
السلام عليكم ورحمة الله وبركاته

اخواني اليوم..

اصاب جهازي برنامج مزيف :hh:

وكنت متعمد اني اصيب جهازي العزيز :d:


WinPC Defender


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




واحد الاسباب اللي اعجزتني عن حذفه هي :
عند تثبيت البرامج
تظهر رساله وهي :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



:q:

اذا عندكم اداه لحذف البرامج الدعائيه عطوني اياها
اهم شي ماتحتاج ست اب :er:


وهذا تقرير الهايجاك :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:57:27 م, on 27/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MOBILY~1\modem.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\TuneUp Utilities 2009\ProcessManager.exe
D:\faststone capture 6.1.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Program Files\ONSPEED\components\NOWImaging.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Program Files\ONSPEED\Toolband.dll
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDE5231F-605D-44FE-9CFB-1122465F3989}: NameServer = 84.23.102.172 84.23.101.84
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5118 bytes


اذا فيه اخطاء خارج نطاق الموضوع الرجاء اعلامي بها


وشكرا لكم مقدما :smile:


 

توقيع : Crazy 4 you
ترتيب حسب التاريخ ترتيب حسب الأصوات

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم



حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثبته على الجهاز ،، ثم شغله واعمل كما الشرح التالي لفحص الجهاز وعمل تقرير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وبعد انتهاء الفحص اعمل التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


انسخ ما بداخل التقرير والصقه بمشاركتك القادمة


 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
ابشر بس
لوسمحت شف تقرير الهايجاك
فيه اشياء احذفها ولا لا ؟؟
 
توقيع : Crazy 4 you
تأييد 0
Crazy 4 you قال:
ابشر بس
لوسمحت شف تقرير الهايجاك
فيه اشياء احذفها ولا لا ؟؟
أنقر للتوسيع...

قم بعمل رد الأخ الغالي Demo-dash

وبعد ما تنفذ المطلوب هات تقرير هاي جاك جديد

بالآآنتظآآر ,,
 
توقيع : أعتز بك
تأييد 0
اخوي ديمو

مقدر اشغل الاداه ال malware

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ماقلتلكم ابي اداه ماتحتاج تنصيب :er:

وعند تشغيل الكومبو فكس :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ونا شغال بالادمانستر ؟؟
 
توقيع : Crazy 4 you
تأييد 0
أعتز بك قال:
قم بعمل رد الأخ الغالي Demo-dash

وبعد ما تنفذ المطلوب هات تقرير هاي جاك جديد

بالآآنتظآآر ,,
أنقر للتوسيع...

يارجااااااااااااال
ماقدرنا ننفذ ولاشي :cr:
 
توقيع : Crazy 4 you
تأييد 0
استخدم الاداوت السابقة من السيف مود


اعد التشغيل وقبل ظهور شاشة الويندوز

اضغط باستمرار على زر f8


wh_62195183.png


ستاتيك شاشة فيهاا عدة خيارات اختر منهاا

safemode

wh_39783481.png



ثم اختر التالي

wh_12507056.png



wh_11747871.png



من الشاشة التالية اختر حساب الادمن او اي حساب تريد


wh_85829423.png



اخيرا اضغط موافق للدخول لسطح المكتب


wh_64184495.png




 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
هااااااااااااااااااااااااااااااا
سيف مود :king:

ياخي نسيته :q:
 
توقيع : Crazy 4 you
تأييد 0
حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


عند تشغيل الاداة نضغط كما محدد بالصورة التالية


wh_61624949.png


ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم ارفع تقرير هايجاك جديد
 
تأييد 0
عدنا
شغلت البرنامجين بالوضع الامن
بس الــComboFix يوم انتهى من فحصه ماعاد تشغيل الجهاز؟؟
حفضت التقرير اللي ظهر بعد التحليل الاول
وبعد ما اعدت التشغيل ماظهر شي من البرنامج
عموما هذا هو التقرير :


ComboFix 09-04-27.02 - Administrator 04/27/2009 22:46.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1256.966.1033.18.734.584 [GMT 3:00]
Running from: c:\documents and settings\Administrator\My Documents0\ComboFix.exe
AV: COMODO Antivirus *On-access scanning disabled* (Updated)
FW: COMODO Firewall *enabled*

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\windows\ieocx.dll
c:\windows\msvrc20.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ckll.dll
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\pthreadGC2.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\vbsuct32.dll
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

----- BITS: Possible infected sites -----

hxxp://winpcdown9.com
.
((((((((((((((((((((((((( Files Created from 2009-05-27 to 2009-4-27 )))))))))))))))))))))))))))))))
.

2009-04-27 19:11 . 2009-04-27 19:11 -------- d-----w c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-04-27 19:11 . 2008-10-16 17:25 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-27 19:11 . 2008-10-16 17:25 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-27 19:11 . 2009-04-27 19:11 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-27 19:11 . 2009-04-27 19:11 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-04-26 22:07 . 2009-04-26 22:07 -------- d-----w c:\documents and settings\Administrator\Local Settings\Application Data\Babylon
2009-04-26 22:07 . 2009-04-26 22:07 -------- d-----w c:\documents and settings\All Users\Application Data\Babylon
2009-04-26 22:07 . 2009-04-26 22:07 -------- d-----w c:\documents and settings\Administrator\Application Data\Babylon
2009-04-26 21:52 . 2009-04-26 21:52 -------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-04-26 16:11 . 2009-04-26 16:11 -------- d-----w c:\documents and settings\Administrator\Application Data\IObit
2009-04-26 16:10 . 2009-04-26 16:10 -------- d-----w c:\program files\IObit
2009-04-25 03:25 . 2009-04-25 03:25 1020928 ----a-w c:\documents and settings\Administrator\Application Data\pcdefender.exe
2009-04-23 06:50 . 2009-03-06 14:44 283648 -c----w c:\windows\system32\dllcache\pdh.dll
2009-04-23 06:50 . 2009-02-06 16:54 35328 -c----w c:\windows\system32\dllcache\sc.exe
2009-04-23 06:50 . 2009-02-06 17:14 110592 -c----w c:\windows\system32\dllcache\services.exe
2009-04-23 06:50 . 2009-02-09 10:20 473088 -c----w c:\windows\system32\dllcache\fastprox.dll
2009-04-23 06:50 . 2009-02-06 16:39 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-23 06:50 . 2009-02-09 10:20 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-23 06:50 . 2009-02-09 10:20 616960 -c----w c:\windows\system32\dllcache\advapi32.dll
2009-04-23 06:50 . 2009-02-09 10:20 714752 -c----w c:\windows\system32\dllcache\ntdll.dll
2009-04-23 06:50 . 2009-02-06 17:22 2136064 -c----w c:\windows\system32\dllcache\ntkrnlmp.exe
2009-04-23 06:50 . 2009-02-06 17:24 2180480 -c----w c:\windows\system32\dllcache\ntoskrnl.exe
2009-04-23 06:50 . 2009-02-06 16:49 2015744 -c----w c:\windows\system32\dllcache\ntkrpamp.exe
2009-04-23 06:50 . 2009-02-06 16:49 2057728 -c----w c:\windows\system32\dllcache\ntkrnlpa.exe
2009-04-23 05:51 . 2008-04-21 10:02 215552 -c----w c:\windows\system32\dllcache\wordpad.exe
2009-04-16 04:15 . 2009-04-16 04:16 -------- d-----w c:\program files\ONSPEED
2009-04-16 04:15 . 2008-06-09 07:25 114688 ----a-w c:\windows\sliprt.dll
2009-04-15 22:45 . 2009-04-15 22:45 4 ----a-w c:\windows\csdf_sdum.dat
2009-04-15 22:45 . 2009-04-15 22:45 4 ----a-w c:\windows\csdf.dat
2009-04-13 19:03 . 2009-04-13 19:03 -------- d-----w c:\windows\system32\VirtualExpander
2009-04-13 19:03 . 2004-08-03 19:59 36352 ----a-w c:\windows\system32\drivers\disk.sys
2009-04-11 21:19 . 2009-04-11 21:19 -------- d-----w c:\documents and settings\Administrator\Local Settings\Application Data\Real
2009-04-11 21:19 . 2009-04-11 21:19 -------- d-----w c:\program files\Real Alternative
2009-04-10 15:36 . 2009-04-27 09:02 -------- d-----r c:\windows\Favorites
2009-04-10 15:17 . 2008-09-16 19:23 168448 ----a-w c:\windows\system32\unrar.dll
2009-04-10 15:17 . 2004-01-25 16:18 217088 ----a-w c:\windows\system32\yv12vfw.dll
2009-04-10 15:17 . 2008-12-07 18:08 795648 ----a-w c:\windows\system32\xvidcore.dll
2009-04-10 15:17 . 2008-12-07 18:08 130048 ----a-w c:\windows\system32\xvidvfw.dll
2009-04-10 15:17 . 2008-11-06 16:37 3596288 ----a-w c:\windows\system32\qt-dx331.dll
2009-04-10 15:17 . 2008-12-11 00:33 86016 ----a-w c:\windows\system32\dpl100.dll
2009-04-10 15:17 . 2008-11-06 16:33 684032 ----a-w c:\windows\system32\divx.dll
2009-04-10 15:17 . 2009-04-02 12:21 84480 ----a-w c:\windows\system32\ff_vfw.dll
2009-04-10 15:07 . 2009-04-10 15:07 -------- d-----w c:\documents and settings\Administrator\Application Data\URSoft
2009-04-08 18:21 . 2009-04-08 18:21 -------- d-----w c:\documents and settings\Administrator\Application Data\Media Player Classic
2009-04-08 18:16 . 2009-04-10 15:18 -------- d-----w c:\program files\K-Lite Codec Pack
2009-04-08 13:00 . 2009-04-08 13:00 -------- d-----w c:\program files\iolo
2009-04-08 13:00 . 2009-04-08 13:00 -------- d-----w c:\documents and settings\All Users\Application Data\iolo
2009-04-08 12:13 . 2009-04-12 18:30 -------- d-----w c:\documents and settings\Administrator\Local Settings\Application Data\COMODO
2009-04-07 15:23 . 2009-04-07 15:27 -------- d-----w c:\documents and settings\All Users\Application Data\Comodo
2009-04-07 15:23 . 2009-04-07 15:23 110992 ----a-w c:\windows\system32\drivers\cmdguard.sys
2009-04-07 15:23 . 2009-04-07 15:23 24336 ----a-w c:\windows\system32\drivers\cmdhlp.sys
2009-04-07 15:23 . 2009-04-07 15:23 155384 ----a-w c:\windows\system32\guard32.dll
2009-04-07 15:23 . 2009-04-07 15:24 -------- d-----w c:\program files\COMODO
2009-04-06 12:16 . 2009-04-06 12:17 79184 ----a-w c:\windows\system32\BGLsp.dll
2009-03-29 04:19 . 2009-03-29 04:19 -------- d-----w c:\documents and settings\Administrator\Application Data\Nokia Multimedia Player
2009-03-28 21:58 . 2009-04-23 06:45 -------- d-----w c:\documents and settings\Administrator\Application Data\IDM
2009-03-28 21:58 . 2009-04-26 15:23 -------- d-----w c:\documents and settings\Administrator\Application Data\DMCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-27 19:09 . 2008-07-05 08:00 18033608 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-27 19:09 . 2008-07-05 08:00 1542576160 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-27 19:08 . 2008-12-02 22:26 -------- d-----w c:\program files\Mobily Connect Card
2009-04-26 21:40 . 2009-03-18 16:14 -------- d-----w c:\program files\MessengerDiscovery
2009-04-24 13:15 . 2008-05-22 10:32 -------- d-----w c:\program files\res
2009-04-07 15:24 . 2008-06-05 10:11 253688 -c--a-w c:\windows\system32\cssdll32.dll
2009-04-03 18:49 . 2008-01-30 15:04 -------- d-----w c:\program files\Security Process Explorer
2009-04-03 18:49 . 2009-03-27 19:46 -------- d-----w c:\program files\TuneUp Utilities 2009
2009-04-03 13:58 . 2008-05-16 07:13 -------- d-----w c:\program files\Evidence Eliminator
2009-03-29 19:24 . 2007-01-11 13:53 -------- d-----w c:\program files\Common Files\Nokia
2009-03-27 19:48 . 2009-03-27 19:48 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-03-27 19:48 . 2009-03-27 19:48 360192 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-03-26 10:58 . 2009-03-26 07:52 -------- d--h--w c:\program files\GLF117.tmp
2009-03-26 05:30 . 2009-03-01 12:37 -------- d-----w c:\program files\Common Files\Real
2009-03-26 05:30 . 2009-03-01 12:35 -------- d-----w c:\program files\Real
2009-03-06 14:44 . 2004-08-03 21:56 283648 ----a-w c:\windows\system32\pdh.dll
2009-03-01 22:20 . 2009-03-01 22:20 -------- d-----w c:\program files\NHN USA
2009-03-01 22:20 . 2009-03-01 22:20 -------- d--h--w c:\program files\InstallShield Installation Information
2009-03-01 12:37 . 2003-03-18 16:14 499712 ----a-w c:\windows\system32\msvcp71.dll
2009-03-01 12:37 . 2003-02-21 00:42 348160 ----a-w c:\windows\system32\msvcr71.dll
2009-02-28 22:14 . 2008-01-10 21:31 100664 -c--a-w c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-02-28 22:08 . 2008-01-12 17:22 -------- d-----w c:\program files\Microsoft ActiveSync
2009-02-20 08:30 . 2004-08-03 21:56 659456 ----a-w c:\windows\system32\wininet.dll
2009-02-20 08:30 . 2004-08-03 21:56 81920 ----a-w c:\windows\system32\ieencode.dll
2009-02-13 08:31 . 2009-03-18 11:41 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-02-09 10:20 . 2004-08-03 21:56 399360 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:20 . 2004-08-03 21:56 723456 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:20 . 2004-08-03 21:56 616960 ----a-w c:\windows\system32\advapi32.dll
2009-02-09 10:20 . 2004-08-03 21:56 714752 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:19 . 2004-08-03 20:17 1846272 ----a-w c:\windows\system32\win32k.sys
2009-02-06 17:24 . 2004-08-03 20:20 2180480 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-06 17:14 . 2004-08-03 21:56 110592 ----a-w c:\windows\system32\services.exe
2009-02-06 16:54 . 2001-08-23 12:00 35328 ----a-w c:\windows\system32\sc.exe
2009-02-06 16:49 . 2004-08-03 22:59 2057728 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-03 20:08 . 2004-08-03 21:56 55808 ----a-w c:\windows\system32\secur32.dll
2008-06-05 10:11 . 2008-06-05 10:38 262144 -c--a-w c:\program files\Uninstall Ask Toolbar.dll
2008-12-17 21:59 . 2009-04-08 15:37 67688 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-17 21:59 . 2009-04-08 15:37 54368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-17 21:59 . 2009-04-08 15:37 34944 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-17 21:59 . 2009-04-08 15:37 46712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-17 21:59 . 2009-04-08 15:37 172136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2004-08-03 21:56 14336 8F078AE4ED187AAABC0A305146DE6716 c:\windows\system32\svchost.exe

[-] 2004-08-03 21:56 82944 2ED0B7F12A60F90092081C50FA0EC2B2 c:\windows\system32\ws2_32.dll

[-] 2004-08-03 21:56 502272 01C3346C241652F43AED8E2149881BFE c:\windows\system32\winlogon.exe

[-] 2004-08-03 20:14 182912 558635D3AF1C7546D26067D5D9B6959E c:\windows\system32\drivers\ndis.sys

[-] 2004-08-03 20:00 29056 4448006B6BC60E6C027932CFC38D6855 c:\windows\system32\drivers\ip6fw.sys

[-] 2004-08-03 21:56 13312 84885F9B82F4D55C6146EBF6065D75D2 c:\windows\system32\lsass.exe

[-] 2004-08-03 21:56 15360 24232996A38C0B0CF151C2140AE29FC8 c:\windows\system32\ctfmon.exe

[-] 2004-08-03 21:56 24576 39B1FFB03C2296323832ACBAE50D2AFF c:\windows\system32\userinit.exe

[-] 2004-08-03 21:56 295424 B60C877D16D9C880B952FDA04ADF16E6 c:\windows\system32\termsrv.dll

[-] 2004-08-03 21:56 17408 1B5F6923ABB450692E9FE0672C897AED c:\windows\system32\powrprof.dll

[-] 2004-08-03 21:56 110080 87CA7CE6469577F059297B9D6556D66D c:\windows\system32\imm32.dll

[-] 2004-08-03 21:56 1580544 30A609E00BD1D4FFC49D6B5A432BE7F2 c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"sysav"="c:\documents and settings\Administrator\Application Data\pcdefender.exe" [2009-04-25 1020928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2009-04-07 1851128]
"COMODO SafeSurf"="c:\program files\COMODO\SafeSurf\cssurf.exe" [2009-04-07 278264]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"AllowMultipleTSSessions"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)
"NoSecCpl"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoMultiIE"= 0 (0x0)
"LWA"= 0 (0x0)
"LWB"= 0 (0x0)
"LWC"= 0 (0x0)
"LWD"= 0 (0x0)
"LWE"= 0 (0x0)
"LWF"= 0 (0x0)
"LWG"= 0 (0x0)
"LWH"= 0 (0x0)
"LWI"= 0 (0x0)
"LWJ"= 0 (0x0)
"LWK"= 0 (0x0)
"LWL"= 0 (0x0)
"LWM"= 0 (0x0)
"LWN"= 0 (0x0)
"LWO"= 0 (0x0)
"LWP"= 0 (0x0)
"LWQ"= 0 (0x0)
"LWR"= 0 (0x0)
"LWS"= 0 (0x0)
"LWT"= 0 (0x0)
"LWU"= 0 (0x0)
"LWV"= 0 (0x0)
"LWW"= 0 (0x0)
"LWX"= 0 (0x0)
"LWY"= 0 (0x0)
"LWZ"= 0 (0x0)
"NoExpandedNewMenu"= 0 (0x0)
"NoStartMenuSubFolders"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)
"NoPrinters"= 0 (0x0)
"NoRecentDocsNetHood"= 1 (0x1)
"NoChangeAnimation"= 0 (0x0)
"RestrictRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck sremcon.exe\0DfSDKBt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"SWd"=c:\windows\winwd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="1"
"UpdatesDisableNotify"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1409082233-2111687655-682003330-1003]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2009-04-07 110992]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2009-04-07 24336]
R1 is-TCILVdrv;is-TCILVdrv;c:\windows\system32\drivers\43173340.sys [2008-03-05 148496]
R1 SuperMounter;SuperMounter; [x]
R2 sbbotdi;sbbotdi; [x]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-03-27 603904]
R2 VideoAcceleratorService;VideoAcceleratorService; [x]
R3 FileObjInfo;STFileDriver; [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-10-16 38496]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-02-17 2736890]
R3 xAntiArp;xAntiArpSpoof Service;c:\windows\system32\DRIVERS\xAntiArp.sys [2007-08-11 305792]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\AutoRun.exe
.
Contents of the 'Scheduled Tasks' folder

2009-04-27 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:36]

2009-04-27 c:\windows\Tasks\OGADaily.job
- c:\windows\system32\OGAVerify.exe [2008-12-31 14:04]

2009-04-26 c:\windows\Tasks\SmartDefrag.job
- c:\program files\IObit\IObit SmartDefrag\IObit SmartDefrag.exe [2009-04-26 15:15]
.
- - - - ORPHANS REMOVED - - - -

ShellIconOverlayIdentifiers-{E4000AC4-5E5F-4956-807A-C5854405D64F} - %SystemRoot%\system32\VirtualExpander\VEShellExt.dll


.
------- Supplementary Scan -------
.
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
LSP: c:\windows\system32\bglsp.dll
LSP: c:\progra~1\ONSPEED\sliplsp.dll
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\o9f0gzqh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.sa/
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npssn.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.interval - 600000
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.urlbar.autoFill - false
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
FF - user.js: browser.urlbar.hideGoButton - true
FF - user.js: browser.blink_allowed - true
FF - user.js: content.switch.threshold - 600000
.
.
------- File Associations -------
.
JSEFile=NOTEPAD.EXE %1
VBEFile=NOTEPAD.EXE %1
VBSFile=NOTEPAD.EXE %1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-04-27 22:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1409082233-2111687655-682003330-500\Software\Microsoft\Speech\AudioOutput\TokenEnums\MMAudioOut\  B1'!) *.7 *'DEH/E *#*0*\Attributes]
"Vendor"="Microsoft"
"Technology"="MMSys"

[HKEY_USERS\S-1-5-21-1409082233-2111687655-682003330-500\Software\Microsoft\Speech\AudioOutput\TokenEnums\MMAudioOut\  B1'!) *.7 *'DEH/E *#*0*\UI\AudioVolume]
"CLSID"="{364D8E0B-67CB-4547-9948-9E7F1B1743ED}"

[HKEY_USERS\S-1-5-21-1409082233-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C482FA6E-64E2-8B7F-7618-C447543FD221}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"jalhmkkklkjhjfegipbf"=hex:61,61,00,7c
"kalhmkkkbkcglbdfkjdgjg"=hex:61,61,00,7c
"falhmkkkikog"=hex:66,61,62,63,63,68,6a,68,6d,6e,62,64,00,00

[HKEY_USERS\S-1-5-21-1409082233-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\{cca31cf60562ba856de1517036c7d727}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"00"="ZVvvkkd7je3DOxHj9D7J3q3IYiLcNPfmlya8YgdUNts="

[HKEY_USERS\S-1-5-21-1409082233-2111687655-682003330-500\Software\Microsoft\Windows NT\CurrentVersion\{cca31cf60562ba856de1517036c7d727}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{16bb0304-c660-467f-beb2-3b68ac4a344b}]
@Denied: (Full) (Everyone)
"Model"=dword:000000c3
"Therad"=dword:0000002f
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
38,95,44,85,b1,12,f9,90,dd,23,a1,93,71,2d,a9,eb,b6,35,64,ef,f2,b6,76,c0,e7,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):23,8b,1f,6f,2d,30,66,43,70,1b,c1,46,34,e4,dc,72,92,bb,7c,03,52,
ea,63,63,0b,d6,d3,55,8d,ca,20,3a,17,53,0b,37,0a,00,a8,9e,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):2d,e0,33,fa,2a,f6,28,75,b9,c7,21,66,ca,f4,e3,98,8b,fe,f5,4e,25,
83,b5,e4,f9,bd,4d,b4,06,f7,57,1d,24,fc,ec,0f,f6,44,b1,ac,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{ef1bc820-818e-4eaa-92f9-8fae7ccfc4ac}]
@Denied: (Full) (Everyone)
"Model"=dword:00000094
"Therad"=dword:0000001e
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(268)
c:\windows\system32\cssdll32.dll
c:\windows\system32\l3codeca.acm
c:\windows\SYSTEM32\vct3216.acm
c:\windows\SYSTEM32\vct3216.dll
c:\windows\system32\msms001.vwp
c:\windows\system32\mvoice.vwp
c:\windows\SYSTEM32\ac3acm.acm
c:\windows\SYSTEM32\lameACM.acm

- - - - - - - > 'lsass.exe'(324)
c:\windows\system32\cssdll32.dll
.
Completion time: 2009-04-27 22:52
ComboFix-quarantined-files.txt 2009-04-27 19:51

Pre-Run: 9,168,785,408 bytes free
Post-Run: 9,165,004,800 bytes free

357 --- E O F --- 2009-04-23 22:56
 
توقيع : Crazy 4 you
تأييد 0
تقرير الــMalwarebytes


Malwarebytes' Anti-Malware 1.29
Database version: 1276
Windows 5.1.2600 Service Pack 2

27/04/2009 10:42:41 م
mbam-log-2009-04-27 (22-42-35).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 46364
Time elapsed: 29 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 6
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\eeshellx.shellext (Rogue.EvidenceEliminator) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{0e6117e2-c367-4be3-8045-52669e71b5df} (Rogue.EvidenceEliminator) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{f272845d-cec2-4f95-92ee-6d08fdfbd471} (Rogue.EvidenceEliminator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a7c6e906-b0b8-4810-ae82-71809ed409eb} (Rogue.EvidenceEliminator) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (Trojan.HumourCanine) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{a7c6e906-b0b8-4810-ae82-71809ed409eb} (Rogue.EvidenceEliminator) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\Eeshellx.dll (Rogue.EvidenceEliminator) -> No action taken.
C:\Program Files\Conduit\Community Alerts\Alert.dll (Trojan.HumourCanine) -> No action taken.




 
توقيع : Crazy 4 you
تأييد 0
بارك الله فيك .. تم حذف اصابات ومخلفات من تقرير الكومبو فكس ... باقي لك


MAAX قال:
حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


عند تشغيل الاداة نضغط كما محدد بالصورة التالية


wh_61624949.png


ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم ارفع تقرير هايجاك جديد
أنقر للتوسيع...

من ماكس الله يجزاه كل خير :ok:
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
MAAX قال:
حمل الاداة التالية


ثم ارفع تقرير هايجاك جديد
أنقر للتوسيع...


تقرير الهايجاك سلمك الله :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:03 م, on 27/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOBILY~1\modem.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Program Files\ONSPEED\components\NOWImaging.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Program Files\ONSPEED\Toolband.dll
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDE5231F-605D-44FE-9CFB-1122465F3989}: NameServer = 84.23.102.172 84.23.101.84
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5338 bytes
 
توقيع : Crazy 4 you
تأييد 0
demo-dash قال:
بارك الله فيك .. تم حذف اصابات ومخلفات من تقرير الكومبو فكس ...
أنقر للتوسيع...

امين
الله يجزاك بالخير بس الله لايهينك :
وريني الاصابات اللي حذفها الكومبو؟؟

lمافحالي اقرا التقرير :q:
 
توقيع : Crazy 4 you
تأييد 0
Crazy 4 you قال:
امين
الله يجزاك بالخير بس الله لايهينك :
وريني الاصابات اللي حذفها الكومبو؟؟

lمافحالي اقرا التقرير :q:
أنقر للتوسيع...



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\windows\ieocx.dll
c:\windows\msvrc20.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\ckll.dll
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\pthreadGC2.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\vbsuct32.dll
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

----- BITS: Possible infected sites -----

hxxp://winpcdown9.com



باقي لك هالاداه ... استخدمها ثم ارفع تقرير هاي جاك جديد

MAAX قال:
حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


عند تشغيل الاداة نضغط كما محدد بالصورة التالية


wh_61624949.png


ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم ارفع تقرير هايجاك جديد
أنقر للتوسيع...
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
Demo-dash قال:
باقي لك هالاداه ... استخدمها ثم ارفع تقرير هاي جاك جديد
أنقر للتوسيع...




سويتها ورفعت الهايجاك من زومان :q:


Crazy 4 you قال:
تقرير الهايجاك سلمك الله :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:03 م, on 27/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOBILY~1\modem.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Zyzoom_HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - C:\Program Files\ONSPEED\components\NOWImaging.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ONSPEED - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} - C:\Program Files\ONSPEED\Toolband.dll
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1409082233-2111687655-682003330-500\..\Run: [sysav] C:\Documents and Settings\Administrator\Application Data\pcdefender.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bglsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EDE5231F-605D-44FE-9CFB-1122465F3989}: NameServer = 84.23.102.172 84.23.101.84
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\cssdll32.dll
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5338 bytes
أنقر للتوسيع...

 
توقيع : Crazy 4 you
تأييد 0
Crazy 4 you قال:





سويتها ورفعت الهايجاك من زومان :q:




أنقر للتوسيع...

اذن اعد استخدامها من السيف مود :y:

عندك بالتقرير قيم O10 كلها ضارة ولازم تحذف

الاداة يفترض بها ان تحذف جميع هالقيم
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
Demo-dash قال:
اذن اعد استخدامها من السيف مود :y:
أنقر للتوسيع...
شوي شوي ثعابيلك ياولد :p:
يعني مافيها الا ادخل على السيف مود؟؟
مشوار ياديمو :er:
ماعندك طريقه ثانيه :er:
انا سويت مثل ماقال خوينا ماكس
ورفعت التقرير ؟

Demo-dash قال:
عندك بالتقرير قيم O10 كلها ضارة ولازم تحذف
الاداة يفترض بها ان تحذف جميع هالقيم
أنقر للتوسيع...

:er:
 
توقيع : Crazy 4 you
تأييد 0
Crazy 4 you قال:

شوي شوي ثعابيلك ياولد :p:
يعني مافيها الا ادخل على السيف مود؟؟
مشوار ياديمو :er:
ماعندك طريقه ثانيه :er:
انا سويت مثل ماقال خوينا ماكس
ورفعت التقرير ؟



:er:
أنقر للتوسيع...

خخخخخخخ

طيب ياغالي .. عندي طريقة ثانية خطيرة .. اذا سويتها راح تحذف القيم لاكن احتمال كبير انك تفقد اتصالك بالنت ... ايش رايك .. اي وحدة تفضل :d:
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
Demo-dash قال:
خخخخخخخ

طيب ياغالي .. عندي طريقة ثانية خطيرة .. اذا سويتها راح تحذف القيم لاكن احتمال كبير انك تفقد اتصالك بالنت ... ايش رايك .. اي وحدة تفضل :d:
أنقر للتوسيع...

دقيقه..
خطيره..وتفقد اتصالي بالنت؟؟
لا لا :cr:
انت تقصد يعني يصير قطع مؤقت للإتصال صح <<< :q:
اذا كانت كذا...خلاص مشكل ني :d:
 
توقيع : Crazy 4 you
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى