ارجو تحليل تقرير الهايجاك هذا بسررررررررعة

قاسم برهان · 5 مارس 2008

السلام عليكم ورحمة الله
هذا تقرير هايجاك ارجو تحليله من قبل الخبراء في اقرب فرصة :

ogfile of HijackThis v1.99.1
Scan saved at 8:59:16 PM, on 3/3/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\digtizer.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fingerprint Sensor\ATSwpNav.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\pzsys1.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fujitsu\Utils\FjDspMon.exe
C:\Program Files\Fujitsu\Utils\fjevents.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\windows\system32\pzreg1.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\LimeWire\LimeWire.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
c:\windows\system32\rlvknlg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\xp\LOCALS~1\Temp\Rar$EX00.406\HijackTh is.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.1121.2472\s wg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATSwpNav] "C:\Program Files\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [FjStrtAp] C:\Program Files\Fujitsu\Utils\FjStrtAp.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [mbssm32] C:\WINDOWS\system32\pzsys1.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Program Files\RegistryCleaner\registrycleaner.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
O4 - HKCU\..\Run: [SIAPRO6] "c:\program files\steganos internet anonym pro 6\sia.exe" /booting
O4 - HKCU\..\Run: [BuddyCheck] C:\Program Files\BuddyCheck\BuddyCheck.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D87C6516-30BA-4BE9-8542-25670D928EF0}: NameServer = 158.152.1.58,158.152.1.43
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Digitizer Service (Digitizer) - WACOM - C:\WINDOWS\System32\digtizer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\WINDOWS\system32\o2flash.exe

والسلام

MAAX · 5 مارس 2008

وعليكم السلااااام ورحمة الله
انا اسرع واحد :d:

لاهنت حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيل الاداة نضغط كما محدد بالصورة التالية

ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم يعاد تشغيل الجهاز
ثم بعد اعادة التشغيل ارفع تقرير جديد

mo7med · 5 مارس 2008

وعليكم السلام ورحمة الله وبركاته

بعد اذن اخونا واتاذنا الفاضل / شسويله بعد

ادخل من الوضع الامن

اظهر الملفات المخفية

ادخل على هذا المسار

C:\WINDOWS\system32

واحذف الملفات التالية

pzsys1.exe
pzreg1.exe
rlvknlg.exe
rlls.dll

===

ادخل على هذا المسار

C:\Program Files\RegistryCleaner

واحذف هذه لملفات

registrycleaner.exe
BuddyCheck.exe

===

من إبدأ Start

تشغيل Run

إكتب temp ثم Enter تفتح لك صفحة حدد الكل وإحذف

كرر الامر على %temp% تفتح لك صفحة حدد الكل وإحذف

===

اعد تشغيل الجهاز

أعد الفحص ببرنامج hijackthis ضع علامة الصح أمام القيم أدناه ثم إضغط على Fixchecked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [mbssm32] C:\WINDOWS\system32\pzsys1.exe
O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Program Files\RegistryCleaner\registrycleaner.exe
O4 - HKCU\..\Run: [BuddyCheck] C:\Program Files\BuddyCheck\BuddyCheck.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D87C6516-30BA-4BE9-8542-25670D928EF0}: NameServer = 158.152.1.58,158.152.1.43

ثم تعيد التقرير لنرى ماتم عمله

مع إبداء ملاحظاتك اثناء العمل

تحياتى

MAAX · 5 مارس 2008

mo7med قال:
وعليكم السلام ورحمة الله وبركاته

بعد اذن اخونا واتاذنا الفاضل / شسويله بعد

ادخل من الوضع الامن

اظهر الملفات المخفية

ادخل على هذا المسار

C:\WINDOWS\system32

واحذف الملفات التالية

pzsys1.exe
pzreg1.exe
rlvknlg.exe
rlls.dll

===

ادخل على هذا المسار

C:\Program Files\RegistryCleaner

واحذف هذه لملفات

registrycleaner.exe
BuddyCheck.exe

===

من إبدأ Start

تشغيل Run

إكتب temp ثم Enter تفتح لك صفحة حدد الكل وإحذف

كرر الامر على %temp% تفتح لك صفحة حدد الكل وإحذف

===

اعد تشغيل الجهاز

أعد الفحص ببرنامج hijackthis ضع علامة الصح أمام القيم أدناه ثم إضغط على Fixchecked

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [mbssm32] C:\WINDOWS\system32\pzsys1.exe
O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Program Files\RegistryCleaner\registrycleaner.exe
O4 - HKCU\..\Run: [BuddyCheck] C:\Program Files\BuddyCheck\BuddyCheck.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D87C6516-30BA-4BE9-8542-25670D928EF0}: NameServer = 158.152.1.58,158.152.1.43

ثم تعيد التقرير لنرى ماتم عمله

مع إبداء ملاحظاتك اثناء العمل

تحياتى

اذنك معك اخي العزيز
ولكن اسمح لي انك مخطىء للاسباب التالية
ما تطلب منه حذفه بالوضع الامن هي تروجونات وملفات تجسس نشطة وبمجرد اعاد تشغيل الجهاز تعود كما كانت
القيم التي تبدأ 010 لا تحذف بالهايجاك لانها ستسبب بكسر الاتصال بالانترنت

والاداة اللي اعطيته انا بالمشاركة الخاصة بي هي لاصلاح القيم التي انت تطلب حذفها

اتمنى لك تمام الاستفادة
للعلم تقارير الهايجاك ليست اكسات احمر واصفر فقط انكما لها الاصول بالتعامل

mo7med · 5 مارس 2008

للعلم تقارير الهايجاك ليست اكسات احمر واصفر فقط انكما لها الاصول بالتعامل

مشكور على المعلومة استاذى الفاضل

تحياتى

MAAX · 5 مارس 2008

mo7med قال:
مشكور على المعلومة استاذى الفاضل

تحياتى

اهلا بك اخي الكريم
ويسعدني زيارتك لهذا القسم للاستزادة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

المانسي · 5 مارس 2008

شسويله بعد قال:
وعليكم السلااااام ورحمة الله
انا اسرع واحد :d:

:q:

الله يعطيك العافية اخي نور

غَيّوضْ · 5 مارس 2008

شسويله بعد قال:
وعليكم السلااااام ورحمة الله
انا اسرع واحد :d:

لاهنت حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيل الاداة نضغط كما محدد بالصورة التالية

ونوافق على الرسائل التي تخرج وفي حال خروج تحذير من برنامج الحماية نعمل له سماح
ثم يعاد تشغيل الجهاز
ثم بعد اعادة التشغيل ارفع تقرير جديد

هههههههههههههههههههههههه

الله يسعدك أستاذي نور ضحكتني من الصبح :hh:

تلميذك العليمي

( شعاري تحملوني تراي عليمي )

ارجو تحليل تقرير الهايجاك هذا بسررررررررعة

قاسم برهان

زيزوومي جديد

MAAX

عضوشرف

mo7med

زيزوومي جديد

توقيع : mo7med

MAAX

عضوشرف

mo7med

زيزوومي جديد

توقيع : mo7med

MAAX

عضوشرف

المانسي

عضو شرف

غَيّوضْ

عضو شرف

توقيع : غَيّوضْ