فايروس خطير

[البـدراوي]

السلام عليكم ورحة الله وبركاته
كيفكم ياشباب
أنا مشكلتي مشكلة مع فايروس جننني
أعراض الفايروس
1- تعطيل الريجستري
2- تعطيل أدارة المهام
3- تعطيل السيف مود
4 - تعطيل برنامج الحماية
5- عدم تشغيل البرامج المضغوطة
6- عدم تشغيل أي اداة فحص
طبعاً حاولت احذف هذا الفايروس اللعين بجميع الطرق والحيل ولكن للاسف لم استطع:no:
لجأت للخيار الأخير الفرومات!!!
حفظت جميع الملفات والبرامج على الــ D و فرمت الـ C ​

نزلت برنامج ESET SMART SECURITY 4 مع اعداداته ومفتاحه وجميع تحديثاته .
وأول ما بدأت بفحص الـ D ، طبعا ماطلع أي فايروس .
نزلت البرامج الأساسية للجهاز ، ماخلصت تنصيب البرامج الأساسية الا والفايروس راجع:hh:​

أرتفع ضغطي الف​

سويت فرومات مرة ثانية ونزلت الكاسبر سكاي مع تحديثة
وعشر دقايق ورجع الفايروس:d:​

مدري ايش الحل؟؟؟
أرجو التعاون معاي لحل هذه المشكلة​

واللي راح يحلي المشكلة راح أدعو له دعوة في ظهر الغيب وفي الحرم كمان​

 

[MMA_LORD_735]

و عليكم السلام و رحمة الله و بركته ...

حياك الله ...

أعمل التالي ...

حمل هذه الأداة ...

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغلها و روح على [ Do a system scan and save log ] ...

شوي و يعطيك تقرير داخل مفكرة ...

أنسخه كاملا ً ... و بشكل صحيح ...

و لصقه في ردك القادم ... ​

 

[البـدراوي]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:29:48, on 16/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\AMT\atchksrv.exe
C:\Program Files\Intel\AMT\LMS.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\AMT\UNS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\برامج\أدوات حماية\حمايه\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\moder\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\moder\Application Data\CyberScrub\Privacy Suite"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Program Files\Intel\AMT\atchksrv.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Program Files\Intel\AMT\LMS.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel - C:\Program Files\Intel\AMT\UNS.exe
--
End of file - 6575 bytes
​

 

[MMA_LORD_735]

طبق التالي ...

​

ا

عطل برامج الحماية وشغل الأداة​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes​

اثناء الفحص ممكن يعاد تشغيل الجهاز

وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ،، وبذلك يكون الفحص انتهى​

​

 

[البـدراوي]

تم الفحص بالأداة وهذا التقرير

ComboFix 09-05-24.01 - 1 05/25/2009 7:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.966.1025.18.997.769 [GMT 3:00]
Running from: c:\documents and settings\1\سطح المكتب\ComboFix.exe
AV: Kaspersky Anti-Virus 6.0 *On-access scanning enabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2009-04-25 to 2009-05-25 )))))))))))))))))))))))))))))))
.
2009-05-24 08:41 . 2009-05-24 08:41 -------- d-----w C:\VundoFix Backups
2009-05-24 08:29 . 2007-05-11 16:00 45056 ----a-w c:\windows\system32\drivers\HECI.sys
2009-05-24 08:29 . 2009-05-24 08:29 -------- dc----w c:\windows\system32\DRVSTORE
2009-05-24 08:29 . 2009-05-24 08:29 -------- d-----w c:\windows\system32\Lang
2009-05-24 08:29 . 2007-05-23 13:28 998168 ----a-w c:\windows\system32\heciudlg.exe
2009-05-24 08:29 . 2006-11-10 06:25 319456 ----a-w c:\windows\system32\difxapi.dll
2009-05-24 08:29 . 2009-05-24 08:29 -------- d-----w C:\Intel
2009-05-24 08:27 . 2009-05-24 08:28 -------- d-----w c:\program files\Intel
2009-05-24 08:18 . 2009-05-24 08:18 -------- d-----w c:\windows\Crystal
2009-05-24 08:18 . 2009-05-24 08:18 -------- d-----w c:\program files\Microsoft.NET
2009-05-24 08:18 . 2009-05-24 08:18 -------- d-----w c:\program files\Microsoft Works
2009-05-24 08:17 . 2009-05-24 08:18 -------- d-----w c:\windows\speech
2009-05-24 08:14 . 2009-05-24 08:17 -------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-05-24 07:44 . 2006-03-21 15:00 86016 ----a-w c:\windows\system32\ZSPOOL.DLL
2009-05-24 07:44 . 2006-03-21 15:00 86016 ----a-w c:\windows\system32\ZLHP1600.DLL
2009-05-24 07:44 . 2006-03-21 15:00 749568 ----a-w c:\windows\system32\AGI1600.DLL
2009-05-24 07:44 . 2006-03-21 15:00 327680 ----a-w c:\windows\system32\ZSHP1600.EXE
2009-05-24 07:44 . 2006-03-21 15:00 28672 ----a-w c:\windows\system32\ZLM.DLL
2009-05-24 07:44 . 2006-03-21 15:00 28672 ----a-w c:\windows\system32\IMF32.DLL
2009-05-24 07:44 . 2006-03-21 15:00 24576 ----a-w c:\windows\system32\ZTAG32.DLL
2009-05-24 07:44 . 2006-03-21 15:00 241664 ----a-w c:\windows\system32\ZHHP1600.EXE
2009-05-24 07:44 . 2006-03-21 15:00 1777664 ----a-w c:\windows\system32\ZHP1600R.DLL
2009-05-24 07:44 . 2006-03-21 15:00 151552 ----a-w c:\windows\system32\HP1600IR.DLL
2009-05-24 07:44 . 2006-03-21 15:00 114688 ----a-w c:\windows\system32\VSHP1600.DLL
2009-05-23 08:52 . 2009-05-23 08:52 -------- d-----w C:\SWTOOLS
2009-05-23 08:46 . 2009-05-24 08:19 -------- d-----w c:\documents and settings\1\Tracing
2009-05-23 08:45 . 2009-05-24 08:19 -------- d-----w c:\program files\Microsoft Office Communicator
2009-05-23 07:37 . 2009-05-23 07:37 -------- d-----w c:\documents and settings\1\Local Settings\Application Data\Ahead
2009-05-23 04:28 . 2009-05-23 04:28 -------- d-----w c:\program files\Kyocera
2009-05-23 04:26 . 2001-09-18 10:38 12160 -c--a-w c:\windows\system32\dllcache\mouhid.sys
2009-05-23 04:26 . 2001-09-18 10:38 12160 ----a-w c:\windows\system32\drivers\mouhid.sys
2009-05-23 04:25 . 2004-08-03 20:01 25856 -c--a-w c:\windows\system32\dllcache\usbprint.sys
2009-05-23 04:25 . 2004-08-03 20:01 25856 ----a-w c:\windows\system32\drivers\usbprint.sys
2009-05-23 04:25 . 2001-08-17 11:02 9600 -c--a-w c:\windows\system32\dllcache\hidusb.sys
2009-05-23 04:25 . 2001-08-17 11:02 9600 ----a-w c:\windows\system32\drivers\hidusb.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-25 04:16 . 2009-05-20 18:21 130848 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-25 04:16 . 2009-05-20 18:21 1489184 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-24 09:26 . 2001-09-19 12:00 40118 ----a-w c:\windows\system32\perfc001.dat
2009-05-24 09:26 . 2001-09-19 12:00 251674 ----a-w c:\windows\system32\perfh001.dat
2009-05-24 08:44 . 2009-05-20 18:21 24056 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-24 08:44 . 2009-05-20 18:21 21092 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-24 08:20 . 2009-05-20 20:20 -------- d-----w c:\program files\USB Disk Security
2009-05-24 08:19 . 2009-05-20 20:04 -------- d-----w c:\program files\idara
2009-05-24 08:17 . 2009-05-20 18:19 -------- d-----w c:\program files\Golden Al-Wafi Translator
2009-05-24 08:17 . 2009-05-20 18:15 -------- d-----w c:\program files\K-Lite Codec Pack
2009-05-24 08:17 . 2009-05-20 18:15 -------- d-----w c:\program files\mpegable
2009-05-23 06:48 . 2009-05-20 18:11 102008 ----a-w c:\documents and settings\1\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-23 05:30 . 2009-05-20 17:34 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-20 20:04 . 2009-05-20 18:19 479232 ------w c:\windows\Setup1.exe
2009-05-20 18:23 . 2009-05-20 18:23 57836 ----a-w c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\ids00118.sys
2009-05-20 18:23 . 2009-05-20 18:23 23080 ----a-w c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\klfw.sys
2009-05-20 18:23 . 2009-05-20 18:23 12489 ----a-w c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\klstm.sys
2009-05-20 18:23 . 2009-05-20 18:23 12264 ----a-w c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\klcr.sys
2009-05-20 18:21 . 2009-05-20 18:21 -------- d-----w c:\program files\Kaspersky Lab
2009-05-20 18:21 . 2009-05-20 18:21 -------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-05-20 18:19 . 2009-05-20 18:19 73216 ------w c:\windows\ST6UNST.EXE
2009-05-20 18:19 . 2009-05-20 18:19 2232 ----a-w c:\windows\java\Packages\Data\ZRHVB1V1.DAT
2009-05-20 18:19 . 2009-05-20 18:19 155995 ----a-w c:\windows\java\Packages\SRVDZRZT.ZIP
2009-05-20 18:19 . 2009-05-20 18:19 2678 ----a-w c:\windows\java\Packages\Data\TJ5BDVL7.DAT
2009-05-20 18:19 . 2009-05-20 18:19 2678 ----a-w c:\windows\java\Packages\Data\VTB5VFNL.DAT
2009-05-20 18:19 . 2009-05-20 18:19 2678 ----a-w c:\windows\java\Packages\Data\UHJH3TJL.DAT
2009-05-20 18:19 . 2009-05-20 18:19 2678 ----a-w c:\windows\java\Packages\Data\ADF75N1N.DAT
2009-05-20 18:19 . 2009-05-20 18:19 2678 ----a-w c:\windows\java\Packages\Data\4PNDJPJT.DAT
2009-05-20 18:19 . 2009-05-20 18:19 -------- d-----w c:\program files\Nero
2009-05-20 18:16 . 2009-05-20 18:15 -------- d-----w c:\program files\Common Files\Adobe
2009-05-20 18:15 . 2009-05-20 18:15 47104 ------w c:\windows\AKDeInstall.exe
2009-05-20 17:35 . 2009-05-20 17:35 -------- d-----w c:\program files\microsoft frontpage
2009-05-20 17:32 . 2009-05-20 17:32 22144 ----a-w c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"kav"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 139367]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2008-09-23 868352]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\All Users\çں‍ê، ں §ڑ\ںé ©ںê¤\ §ک ں颬نïé\
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 816792]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-5-20 122880]
«©م، ¢¬نïé Adobe Reader.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 113776]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\سطح الكتب 3\\تعاريف kyocera km-2550\\KYOCERA_KX_V4_4_2K_XP_Vista_x86_EN.exe"=
"d:\\سطح الكتب 3\\تعاريف kyocera km-2550\\KYOCERA_KX_V4_4_XP_Vista_x64_EN.exe"=
"c:\\Program Files\\Adobe\\Reader 8.0\\Reader\\AdobeCollabSync.exe"=
"c:\\Program Files\\Adobe\\Reader 8.0\\Reader\\reader_sl.exe"=
"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=
"c:\\maar95\\appschoo.exe"=
"c:\\SWTOOLS\\DRIVERS\\Ethernet\\a2etn00us17\\Autorun.exe"=
"c:\\Program Files\\Intel\\NCS2\\WMIProv\\NCS2Prov.exe"=
"c:\\WINDOWS\\system32\\CF25360.exe"=
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\fnlmn.sys --> c:\windows\system32\drivers\fnlmn.sys [?]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - AVP
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.kaspersky.com/support
IE: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-05-25 07:16
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(760)
c:\windows\system32\klogon.dll
c:\windows\system32\WLDAP32.dll
.
Completion time: 2009-05-25 7:17
ComboFix-quarantined-files.txt 2009-05-25 04:17
Pre-Run: 72,431,181,824 bytes free
Post-Run: 72,453,521,408 bytes free
178
​

 

[format]

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)


O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\moder\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\moder\Application Data\CyberScrub\Privacy Suite"


O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')


O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

 

[البـدراوي]

o2 - bho: Ievkbdbho - {59273ab4-e7d3-40f9-a1a8-6fa9cca1862c} - (no file)


o4 - hkcu\..\runonce: [privacy suite] "c:\documents and settings\moder\application data\cleaner\cspseraser.exe" "/r:c:\documents and settings\moder\application data\cyberscrub\privacy suite"


o4 - hkus\s-1-5-19\..\runonce: [nltide_2] regsvr32 /s /n /i:u shell32 (user 'local service')


o7 - hkcu\software\microsoft\windows\currentversion\pol icies\system, disableregedit=1o7 - hkcu\software\microsoft\windows\currentversion\pol icies\system, disableregedit=1


o4 - hkus\s-1-5-20\..\runonce: [nltide_2] regsvr32 /s /n /i:u shell32 (user 'network service')

أيش هذه أخوي مافهمت؟؟​

 

[comp_83]

أخي العزيز البدراوي هذا فايروس لعين اسمه ساليتي 32 حمل هذه الاداة وراح تنحل مشكلتك باذن الله

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[البـدراوي]

أخي العزيز البدراوي هذا فايروس لعين اسمه ساليتي 32 حمل هذه الاداة وراح تنحل مشكلتك باذن الله

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أهلا أخي العزيز comp

هذه الأداة حملتها قبل كذا ، ولما جيت أشغلها رفض الجهاز يشغلها :hh:
أغلب الادوات ماتشتغل وكذلك برامج الحماية.

 

[format]

أغلق برنامج الحماية

و قم بتعطيل استعادة النظام كما في الشرح

حمل الأداة من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أو

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

ثم ألصقه بردك القادم أو رفعه هنا​

 

[format]

احدف التالي

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)


O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\moder\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\moder\Application Data\CyberScrub\Privacy Suite"


O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')


O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE'

​

طريقة الحذف ​

​

​

​