مشكله في الاو 4 ( o4 ) واتوقع انها بالريجستري

[Mr.]

السلام عليكم ورحمة الله وبركاته


بعد تقرير الهيجك طلعتلي عدة مشاكل وكلها انحلت بضغطه على زر Fix Checked ونحلت بس دايم

لما تجي مشكله في الـ O4 اتورط

اما من مشكله في برنامج او غيره

الحين حاولت اشوف وش المشكله بس عجزت :cr:

وهذا هو التقرير بالعلم اني لما احاول احذفه من زر Fix Checked يقول تم تعطيل التحرير من قبل المسؤول :er:

وش الحل

وجزاكم الله كل خير


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:14 PM, on 5/22/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
F:\هيجك\HiJackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: E?E - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

--
End of file - 3860 bytes




​

 

[ابـــو عــبــد الــلــه]

وعليكم السلام

ارجو التوضيح

اعمل التالي

عطل برامج الحماية عن العمل
ثم
حمل الاداة التالية واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
لا تقم بتشغيل اي برنامج ،، ومهما طالت عملية الفحص انتظر حتى تنتهي
انتظر حتى يظهر لك تقرير ،،انسخه والصقه بمشاركتك القادمة​

 

[Mr.]

هذا هو التقرير

ComboFix 09-05-22.04 - Administrator 05/22/2009 22:52.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1025.18.502.162 [GMT 3:00]
Running from: c:\documents and settings\Administrator\سطح المكتب\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\setting.ini
D:\Autorun.inf

.
((((((((((((((((((((((((( Files Created from 2009-04-22 to 2009-05-22 )))))))))))))))))))))))))))))))
.

2009-05-22 18:23 . 2009-05-22 18:16 96104 ----a-w c:\windows\system32\drivers\avipbb.sys
2009-05-22 18:23 . 2009-05-22 18:16 22360 ----a-w c:\windows\system32\drivers\avgntmgr.sys
2009-05-22 18:23 . 2009-05-22 18:16 45416 ----a-w c:\windows\system32\drivers\avgntdd.sys
2009-05-22 18:23 . 2009-05-22 18:23 -------- d-----w c:\windows\LastGood
2009-05-22 18:23 . 2009-05-22 18:23 -------- d-----w c:\program files\Avira
2009-05-22 18:23 . 2009-05-22 18:23 -------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-05-22 18:15 . 2009-05-22 18:15 390664 ----a-w c:\documents and settings\Administrator\Application Data\Real\RealPlayer\Update\RealPlayer11.exe
2009-05-22 17:05 . 2009-05-22 17:05 -------- d-----w c:\documents and settings\Administrator\Application Data\URSoft
2009-05-22 17:05 . 2009-05-22 17:05 -------- d-----w c:\program files\Your Uninstaller 2006
2009-05-22 16:43 . 2009-05-22 19:39 -------- d-----w c:\documents and settings\LocalService\قائمة ابدأ
2009-05-22 16:42 . 2009-05-22 18:16 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-05-22 15:38 . 2009-05-22 17:06 -------- d-----w c:\program files\Common Files\Filseclab
2009-05-22 00:36 . 2009-05-22 17:47 -------- d-----w c:\program files\LtUcx
2009-05-20 19:30 . 2005-02-25 03:34 22752 ----a-w c:\windows\system32\spupdsvc.exe
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w c:\documents and settings\Administrator\Contacts
2009-05-18 13:11 . 2009-05-18 13:11 -------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-05-18 12:17 . 2009-05-18 12:17 -------- d-----w c:\windows\system32\LogFiles
2009-05-09 08:38 . 2009-05-09 08:38 -------- d-----w c:\documents and settings\Administrator\Local Settings\Application Data\Adobe
2009-05-08 22:27 . 2009-05-08 22:27 -------- d-----w c:\documents and settings\Administrator\Application Data\GRETECH
2009-05-08 22:20 . 2009-05-08 22:20 -------- d-----w c:\documents and settings\Administrator\Local Settings\Application Data\Mozilla
2009-05-08 22:09 . 2009-05-22 19:39 -------- d-s---w c:\documents and settings\Administrator\UserData
2009-05-08 21:59 . 2006-10-09 01:14 12160 -c--a-w c:\windows\system32\dllcache\mouhid.sys
2009-05-08 21:59 . 2006-10-09 01:14 12160 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-05-08 21:59 . 2006-10-09 01:13 9600 -c--a-w c:\windows\system32\dllcache\hidusb.sys
2009-05-08 21:59 . 2006-10-09 01:13 9600 ----a-w c:\windows\system32\drivers\hidusb.sys
2009-05-08 20:08 . 2006-10-09 04:12 3072 ----a-w c:\windows\system32\drivers\audstub.sys
2009-05-08 20:07 . 2006-10-09 04:14 57216 ----a-w c:\windows\system32\drivers\redbook.sys
2009-05-08 20:07 . 2006-10-09 04:14 20992 ----a-w c:\windows\system32\drivers\RTL8139.sys
2009-05-08 20:07 . 2006-10-09 04:14 5504 ----a-w c:\windows\system32\drivers\intelide.sys
2009-05-08 20:07 . 2006-10-09 01:14 73728 -c--a-w c:\windows\system32\dllcache\usbui.dll
2009-05-08 20:07 . 2006-10-09 01:14 73728 ----a-w c:\windows\system32\usbui.dll
2009-05-08 20:06 . 2006-10-09 04:13 9344 ----a-w c:\windows\system32\drivers\compbatt.sys
2009-05-08 20:06 . 2006-10-09 04:14 14080 ----a-w c:\windows\system32\drivers\CmBatt.sys
2009-05-08 20:06 . 2006-10-09 04:12 16256 ----a-w c:\windows\system32\drivers\battc.sys
2009-05-08 20:04 . 2009-05-22 19:52 -------- d-----w c:\windows\system32\CatRoot2
2009-05-08 20:04 . 2009-05-22 19:06 -------- d-----w c:\windows\system32\CatRoot
2009-05-08 20:04 . 2009-05-22 19:39 -------- d--h--w c:\documents and settings\Default User
2009-05-08 20:04 . 2009-05-22 19:39 -------- d-----w c:\documents and settings\All Users
2009-05-08 20:04 . 2009-05-08 17:41 -------- d-----w C:\Documents and Settings

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 19:40 . 2009-05-08 17:13 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-22 19:39 . 2009-05-08 18:18 -------- d-----w c:\program files\Messenger Plus! Live
2009-05-22 18:26 . 2001-09-19 12:00 40316 ----a-w c:\windows\system32\perfc001.dat
2009-05-22 18:26 . 2001-09-19 12:00 251946 ----a-w c:\windows\system32\perfh001.dat
2009-05-08 22:27 . 2009-05-08 17:38 94632 ----a-w c:\documents and settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-08 18:20 . 2009-05-08 18:19 -------- d-----w c:\program files\The KMPlayer
2009-05-08 18:18 . 2009-05-08 18:18 -------- d-----w c:\program files\Windows Live
2009-05-08 18:18 . 2009-05-08 18:18 94632 ----a-w c:\documents and settings\مهم انت وحدك مهم\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-08 18:17 . 2009-05-08 18:17 -------- d-----w c:\program files\MSN Messenger
2009-05-08 18:16 . 2009-05-08 18:16 -------- d-----w c:\program files\GRETECH
2009-05-08 18:15 . 2009-05-08 18:06 172032 ------w c:\windows\Setup1.exe
2009-05-08 18:15 . 2009-05-08 18:06 73216 ----a-w c:\windows\ST6UNST.EXE
2009-05-08 18:13 . 2009-05-08 18:12 -------- d-----w c:\program files\Common Files\Ahead
2009-05-08 18:13 . 2009-05-08 18:13 -------- d-----w c:\documents and settings\مهم انت وحدك مهم\Application Data\Ahead
2009-05-08 18:12 . 2009-05-08 18:12 -------- d-----w c:\program files\Nero
2009-05-08 18:08 . 2009-05-08 18:08 -------- d-----w c:\program files\Common Files\xing shared
2009-05-08 18:08 . 2009-05-08 18:08 -------- d-----w c:\program files\Common Files\Real
2009-05-08 18:08 . 2009-05-08 18:08 499712 ----a-w c:\windows\system32\msvcp71.dll
2009-05-08 18:08 . 2009-05-08 18:08 348160 ----a-w c:\windows\system32\msvcr71.dll
2009-05-08 18:08 . 2009-05-08 18:08 -------- d-----w c:\program files\Real
2009-05-08 18:05 . 2009-05-08 18:04 -------- d-----w c:\program files\Common Files\Adobe
2009-05-08 17:56 . 2009-05-08 17:56 -------- d-----w c:\program files\Microsoft.NET
2009-05-08 17:55 . 2009-05-08 17:55 -------- d-----w c:\program files\Microsoft Works
2009-05-08 17:40 . 2009-05-08 17:40 -------- d-----w c:\program files\CONEXANT
2009-05-08 17:35 . 2009-05-08 17:35 -------- d-----w c:\program files\Driver-Soft
2009-05-08 17:34 . 2009-05-08 17:34 -------- d-----w c:\documents and settings\Administrator\Application Data\U3
2009-05-08 17:15 . 2009-05-08 17:15 -------- d-----w c:\program files\microsoft frontpage
2009-05-08 17:10 . 2009-05-08 17:10 22144 ----a-w c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-05-08 185896]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-05-22 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2005-11-17 15600128]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\docume~1\ALLUSE~1\A007~1\7D39~1\D51D~1\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [5/22/2009 9:23 PM 194817]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [5/22/2009 9:23 PM 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [5/22/2009 9:23 PM 432897]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - ANTIVIRMAILSERVICE
*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - ANTIVIRWEBSERVICE
*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB
*NewlyCreated* - SSMDRV
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-Yahoo Messengger - c:\windows\system32\RVHOST.exe
SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.sa/
uInternet Connection Wizard,ShellNext = iexplore
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\znpzbwf1.default\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-05-22 22:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-05-22 22:55
ComboFix-quarantined-files.txt 2009-05-22 19:54

Pre-Run: 36,673,830,912 bytes free
Post-Run: 36,678,799,360 bytes free

154 --- E O F --- 2009-05-22 18:03

 

[Mr.]

ياريت اعرف كيف تقوم بتحليل هذا التقرير

عشان اتعلم واعتمد على نفسي

وشكرا

 

[ابـــو عــبــد الــلــه]

عطل نقطة الاستعادة مثل الموجود في الشرح التالي

حمل اداة الكاسبر من الرابط التالي


...

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

...

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

ثم قوم بضغط التقرير ورفعه هنا>>>>

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[ابـــو عــبــد الــلــه]

انتبه قبل استخدام الاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

الموجود اسفل هو المحذوف من جهازك من الفيروسات المكتشفه ...
​

(((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\setting.ini
D:\Autorun.inf

.
((((((((((((((((((((((((( Files Created from 2009-04-22 to 2009-05-22 )))))))))))))))))))))))))))))))​

 

[Mr.]

اوكيك