مشكلتين : رسالة Dr. Watson Postmortem Debugger و صفحة ويب تفتح تلقائيا عند تشغيل الجهاز .

[E.x.H]

.. السلام عليكم ورحمة الله وبركاته ..
كيفكم اخواني اعضاء منتديات زيزوم؟ , ان شاء الله بخير .
عندي صراحة مشكلتين الاولي هية عندما اقوم بفتح الجهاز والتوجه الي مجلد في البارتيشن D
تظهر هذه الرسالة

ثم بعد الضغط علي كلا من Send Error Report او Don't Send
تظهر هذه الرساله مباشرة

ويتجمد الجهاز , ولازم Restart للجهاز بعدها
طبعا انا قمت بحذف هذا المجلد بالكامل وريحت نفسي ولاكن بعدها بايام اصبحت الرساله تظهر عند بدا تشغيل الــ Windows وتجمد الجهاز , هذه هية المشكله الاولي .


اما المشكله الثانية وهي صفحة ويب تفتح في المتصفح عند بدا تشغيل الوندوز واظنها تروجان , هذا هوة رابط الصفحة .

http://click.vnn.bz/?hide=1&url=C:\Program

وفي الختام هذا هوة تقرير اداة Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:37:59 AM, on 6/9/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\AppServ\MySQL\bin\mysqld-nt.exe
C:\AppServ\Apache2.2\bin\httpd.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\TechSmith\Snagit 9\Snagit32.exe
C:\Program Files\No-IP\DUC20.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TechSmith\Snagit 9\TSCHelp.exe
C:\Program Files\TechSmith\Snagit 9\SnagPriv.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\TechSmith\Snagit 9\snagiteditor.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 9\SnagitBHO.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [eMusicClient] C:\Program Files\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [YSearchProtection] "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: E?E - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - DefaultPrefix: http://click.vnn.bz/?hide=1&url=
O13 - WWW Prefix: http://click.vnn.bz/?hide=1&url=
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - C:\AppServ\Apache2.2\bin\httpd.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: mysql - Unknown owner - C:\AppServ\MySQL\bin\mysqld-nt.exe
O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe

--
End of file - 7983 bytes

اتمني ايجاد حل للمشكلة :er: و اتمني ايضا اخباري اذا كان الجهاز فيه فيروسات او تروجنات , واسف للاطالة عليكم ,,:q:

فمان الله ,

 

[E.x.H]

,, سؤال اخر بعد اذنكم , هل تنصحوني بتثبيت نظام تشغيل Windows 7 ؟ , الان
ام الانتظار الي صدور الاصدار الكامل ؟

 

[salim999]

راجع هذا الموضوع والله اعلم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[E.x.H]

راجع هذا الموضوع والله اعلم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

جزاك الله خيرا تم تطبيق الشرح ,, وبانتظار باقي الاراء k:
بخصوص المشكلتين ايضا وتقرير الهاي جاك

 

[MAAX]

عطل برامج الحماية عن العمل
ثم
حمل الاداة التالية واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
لا تقم بتشغيل اي برنامج ،، ومهما طالت عملية الفحص انتظر حتى تنتهي
انتظر حتى يظهر لك تقرير ،،انسخه والصقه بمشاركتك القادمة

تصبح على خير ​

 

[E.x.H]

عطل برامج الحماية عن العمل
ثم
حمل الاداة التالية واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
اثناء الفحص ممكن يعاد تشغيل الجهاز
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
لا تقم بتشغيل اي برنامج ،، ومهما طالت عملية الفحص انتظر حتى تنتهي
انتظر حتى يظهر لك تقرير ،،انسخه والصقه بمشاركتك القادمة

تصبح على خير ​

اخي الغالي عندما قمت بعمل فحص بواسطة هذه الاداة , وانتهي الفحص وبعد ذلك قامت الصفحة التي ذكرتها في اول الموضوع بالفتح في Internet Explorer
واظنها قامت بتحميل ملف ConfDriver.exe او شيء مثل هذا _ وايضا خلفية الدسكتوب تغيرت
وهذا هو التقرير اتمني ايجاد حل . واظن هذا الملف فيروس اوتورن اتمني ايجاد حل

ComboFix 09-06-08.02 - Hatem 06/09/2009  3:38.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1256.20.1033.18.1015.463 [GMT 3:00]
Running from: c:\documents and settings\Hatem\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\config\S-1-5-21-1482476501-1644491937-682003330-1013
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

.
(((((((((((((((((((((((((   Files Created from 2009-05-09 to 2009-06-09  )))))))))))))))))))))))))))))))
.

2009-06-08 23:19 . 2009-06-08 23:19    --------    d-----w-    c:\program files\Trend Micro
2009-06-08 03:36 . 2009-06-08 03:36    --------    d-----w-    c:\program files\Common Files\TechSmith Shared
2009-06-08 03:07 . 2009-06-08 03:07    44540    ---ha-w-    c:\windows\system32\mlfcache.dat
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\Apple Computer
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\Apple Computer
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\program files\Safari
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\program files\Bonjour
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\Apple
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\program files\Apple Software Update
2009-06-08 03:02 . 2009-06-08 03:02    --------    d-----w-    c:\documents and settings\All Users\Application Data\Apple
2009-06-07 23:06 . 2009-06-07 23:06    --------    d-----w-    c:\documents and settings\Hatem\.VirtualBox
2009-06-07 23:04 . 2009-05-29 17:13    100944    ----a-w-    c:\windows\system32\drivers\VBoxDrv.sys
2009-06-07 23:04 . 2009-05-29 17:13    79888    ----a-w-    c:\windows\system32\drivers\VBoxNetAdp.sys
2009-06-07 23:04 . 2009-06-07 23:04    --------    d-----w-    c:\program files\Sun
2009-06-07 23:02 . 2009-05-29 17:13    41424    ----a-w-    c:\windows\system32\drivers\VBoxUSBMon.sys
2009-06-06 06:36 . 2009-06-09 00:40    --------    d-sh--r-    C:\CONFIG
2009-06-06 02:06 . 2009-06-08 23:01    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\IDM
2009-06-06 02:06 . 2009-06-08 23:01    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\DMCache
2009-06-06 02:05 . 2009-06-06 02:06    --------    d-----w-    c:\program files\Internet Download Manager
2009-06-05 18:29 . 2009-06-05 18:29    --------    d-----w-    c:\documents and settings\All Users\Application Data\Messenger Plus!
2009-06-05 01:30 . 2009-06-05 01:30    --------    d-----w-    c:\program files\Circle Developement
2009-06-05 01:30 . 2009-06-05 02:50    --------    d-----w-    c:\program files\Messenger Plus! Live
2009-06-04 05:58 . 2009-06-04 05:58    --------    d-----w-    c:\program files\Common Files\DirectX
2009-06-04 02:37 . 2009-06-04 02:37    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\TeamViewer
2009-06-04 02:37 . 2009-06-04 02:37    --------    d-----w-    c:\program files\TeamViewer3
2009-06-04 02:37 . 2009-06-04 02:37    --------    d-----w-    c:\documents and settings\Hatem\temp
2009-06-04 02:33 . 2009-06-04 02:47    --------    d-----w-    c:\program files\No-IP
2009-06-04 00:27 . 2009-06-04 00:27    737280    ----a-w-    c:\windows\iun6002.exe
2009-06-04 00:27 . 2009-06-04 00:39    --------    d-----w-    c:\program files\DkZ Studio
2009-06-02 23:30 . 2008-10-16 11:06    268648    ----a-w-    c:\windows\system32\mucltui.dll
2009-06-02 23:30 . 2008-10-16 11:06    208744    ----a-w-    c:\windows\system32\muweb.dll
2009-06-02 02:00 . 2009-06-08 23:01    --------    d-----w-    c:\documents and settings\Hatem\Tracing
2009-06-02 01:58 . 2009-06-02 01:58    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\Identities
2009-06-02 01:57 . 2009-06-02 01:57    --------    d-----w-    c:\program files\Microsoft
2009-06-02 01:57 . 2009-06-02 01:57    --------    d-----w-    c:\program files\Windows Live SkyDrive
2009-06-02 01:30 . 2009-06-02 01:30    --------    d-----w-    c:\program files\Common Files\Windows Live
2009-06-01 14:55 . 2009-06-01 14:57    --------    d-----w-    c:\program files\Error Repair Professional
2009-06-01 02:49 . 2009-06-01 02:49    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\Cooliris
2009-06-01 02:47 . 2009-03-30 07:33    96104    ----a-w-    c:\windows\system32\drivers\avipbb.sys
2009-06-01 02:47 . 2009-02-13 09:29    22360    ----a-w-    c:\windows\system32\drivers\avgntmgr.sys
2009-06-01 02:47 . 2009-02-13 09:17    45416    ----a-w-    c:\windows\system32\drivers\avgntdd.sys
2009-06-01 02:47 . 2009-06-01 02:47    --------    d-----w-    c:\program files\Avira
2009-06-01 00:20 . 2009-06-01 00:20    --------    d-----w-    c:\program files\Common Files\Wise Installation Wizard
2009-05-31 22:58 . 2009-06-03 20:42    --------    d-----w-    c:\windows\system32\CatRoot_bak
2009-05-31 16:42 . 2009-05-31 16:42    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\Yahoo
2009-05-31 16:41 . 2009-05-31 22:43    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\Yahoo!
2009-05-31 16:41 . 2009-05-31 16:42    --------    d-----w-    c:\documents and settings\All Users\Application Data\Yahoo!
2009-05-31 16:41 . 2009-05-26 16:50    607472    ----a-w-    c:\documents and settings\All Users\Application Data\Yahoo!\YUpdater\yupdater.exe
2009-05-31 16:33 . 2004-08-03 20:08    26496    -c--a-w-    c:\windows\system32\dllcache\usbstor.sys
2009-05-31 16:28 . 2009-06-01 00:24    --------    d-----w-    c:\documents and settings\Hatem\Local Settings\Application Data\TechSmith
2009-05-31 16:28 . 2008-03-11 23:37    107864    ----a-w-    c:\windows\system32\tsccvid.dll
2009-05-31 16:28 . 2009-06-08 03:36    --------    d-----w-    c:\windows\system32\QuickTime
2009-05-31 16:27 . 2009-06-08 03:36    --------    d-----w-    c:\documents and settings\All Users\Application Data\TechSmith
2009-05-31 16:27 . 2009-06-08 03:36    --------    d-----w-    c:\program files\TechSmith
2009-05-31 16:26 . 2009-02-06 17:22    2136064    -c----w-    c:\windows\system32\dllcache\ntkrnlmp.exe
2009-05-31 16:26 . 2009-02-06 17:24    2180480    -c----w-    c:\windows\system32\dllcache\ntoskrnl.exe
2009-05-31 16:26 . 2009-02-06 16:49    2057728    -c----w-    c:\windows\system32\dllcache\ntkrnlpa.exe
2009-05-31 16:26 . 2009-02-06 16:49    2015744    -c----w-    c:\windows\system32\dllcache\ntkrpamp.exe
2009-05-31 16:15 . 2008-06-13 13:10    272128    -c----w-    c:\windows\system32\dllcache\bthport.sys
2009-05-31 16:15 . 2008-06-13 13:10    272128    ------w-    c:\windows\system32\drivers\bthport.sys
2009-05-31 16:10 . 2008-10-24 11:10    453632    -c----w-    c:\windows\system32\dllcache\mrxsmb.sys
2009-05-31 15:03 . 2009-05-31 15:03    --------    d-s---w-    c:\documents and settings\Hatem\UserData
2009-05-31 01:32 . 2009-05-31 01:32    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\Avira
2009-05-31 01:16 . 2009-03-24 13:08    55640    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2009-05-31 01:16 . 2009-06-01 02:47    --------    d-----w-    c:\documents and settings\All Users\Application Data\Avira

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-08 02:43 . 2009-05-30 21:54    --------    d-----w-    c:\program files\FlashFXP
2009-06-07 08:26 . 2009-05-30 23:01    --------    d-----w-    c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-06-02 02:00 . 2009-05-30 23:18    55008    ----a-w-    c:\documents and settings\Hatem\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-02 01:57 . 2009-05-30 23:43    --------    d-----w-    c:\program files\Windows Live
2009-05-31 16:41 . 2009-05-30 21:52    --------    d-----w-    c:\program files\Yahoo!
2009-05-31 01:43 . 2009-05-30 21:51    --------    d-----w-    c:\program files\CamStudio
2009-05-30 23:43 . 2009-05-30 23:43    0    ----a-w-    c:\windows\nsreg.dat
2009-05-30 23:32 . 2009-05-30 23:32    --------    d-----w-    c:\program files\Foxit Software
2009-05-30 23:32 . 2009-05-30 23:32    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\Foxit
2009-05-30 23:09 . 2009-05-30 23:06    --------    d-----w-    c:\program files\Common Files\Adobe
2009-05-30 23:07 . 2009-05-30 23:07    --------    d-----w-    c:\documents and settings\All Users\Application Data\Adobe Systems
2009-05-30 23:07 . 2009-05-30 23:07    --------    d-----w-    c:\program files\Common Files\Adobe Systems Shared
2009-05-30 21:58 . 2009-05-30 21:58    --------    d-----w-    c:\program files\Opera
2009-05-30 21:56 . 2009-05-30 21:55    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\Media Player Classic
2009-05-30 21:55 . 2009-05-30 21:55    --------    d-----w-    c:\program files\K-Lite Codec Pack
2009-05-30 21:54 . 2009-05-30 21:54    --------    d-----w-    c:\docume~1\Hatem\APPLIC~1\FlashFXP
2009-05-30 21:52 . 2009-05-30 21:51    --------    d-----w-    c:\program files\CCleaner
2009-05-30 21:47 . 2009-05-30 21:46    --------    d--h--w-    c:\program files\InstallShield Installation Information
2009-05-30 21:46 . 2009-05-30 21:46    --------    d-----w-    c:\program files\Realtek
2009-05-30 21:46 . 2009-05-30 21:46    315392    ----a-w-    c:\windows\HideWin.exe
2009-05-30 21:46 . 2009-05-30 21:46    --------    d-----w-    c:\program files\Common Files\InstallShield
2009-05-30 21:44 . 2009-05-30 21:44    --------    d-----w-    c:\program files\Intel
2009-05-30 21:38 . 2009-05-30 21:38    --------    d-----w-    c:\program files\microsoft frontpage
2009-05-30 21:37 . 2009-05-30 21:37    86327    ----a-w-    c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-30 21:35 . 2009-05-30 21:35    21640    ----a-w-    c:\windows\system32\emptyregdb.dat
2009-05-29 17:12 . 2009-05-29 17:12    133648    ----a-w-    c:\windows\system32\VBoxNetFltNotify.dll
2009-05-29 17:12 . 2009-05-29 17:12    87760    ----a-w-    c:\windows\system32\drivers\VBoxNetFlt.sys
2009-03-26 15:35 . 2009-05-07 07:42    210352    ----a-w-    c:\windows\system32\idmmbc.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-26 4351216]
"Search Protection"="c:\program files\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-06-06 2807216]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-05 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-05 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-05 94208]
"YSearchProtection"="c:\program files\Yahoo!\Search Protection\SearchProtection.exe" [2009-02-23 111856]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-04-04 1822720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\AppServ\\Apache2.2\\bin\\httpd.exe"=
"c:\\Program Files\\FlashFXP\\FlashFXP.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\TeamViewer3\\TeamViewer.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [6/8/2009 2:04 AM 100944]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [6/8/2009 2:02 AM 41424]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [6/1/2009 5:47 AM 108289]
R2 Apache2.2;Apache2.2;c:\appserv\Apache2.2\bin\httpd.exe [1/9/2007 7:17 PM 20539]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [6/8/2009 2:04 AM 79888]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [5/29/2009 8:12 PM 87760]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67EFG7H6-8IJL-56YT-KLH4-76WE2D3RAM87}]
c:\config\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe
.
Contents of the 'Scheduled Tasks' folder

2009-06-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 09:34]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-eMusicClient - c:\program files\Winamp\eMusic\eMusicClient.exe
SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yahoo.com/
mStart Page = hxxp://www.yahoo.com/
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
IE: Download all links with IDM - c:\program files\Internet Download Manager\IEGetAll.htm
IE: Download FLV video content with IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Download with IDM - c:\program files\Internet Download Manager\IEExt.htm
FF - ProfilePath - c:\docume~1\Hatem\APPLIC~1\Mozilla\Firefox\Profiles\g70w3ibd.default\
FF - component: c:\documents and settings\Hatem\Application Data\IDM\idmmzcc3\components\idmmzcc.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Opera\program\plugins\NP_IDM1.dll
FF - plugin: c:\program files\Opera\program\plugins\NP_IDM2.dll
FF - plugin: c:\program files\Opera\program\plugins\NP_IDM3.dll
FF - plugin: c:\program files\Opera\program\plugins\NP_IDM4.dll
FF - plugin: c:\program files\Opera\program\plugins\NP_IDM5.dll

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-09 03:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mysql]
"ImagePath"="c:\appserv\MySQL\bin\mysqld-nt --defaults-file=c:\appserv\MySQL\my.ini mysql"
.
Completion time: 2009-06-09  3:42
ComboFix-quarantined-files.txt  2009-06-09 00:42

Pre-Run: 13,028,134,912 bytes free
Post-Run: 13,016,694,784 bytes free

202    --- E O F ---    2009-06-06 06:33

والسلام عليكم

 

[MAAX]

شوف ياغالي ,,, حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,
الفحص يجب ان يتم بالوضع الامن
رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

​

 

[E.x.H]

شوف ياغالي ,,, حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,
الفحص يجب ان يتم بالوضع الامن
رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

جزاك الله خيرا اخي MAAX علي الاهتمام قمت بالدخول الي الوضع الامن وعمل الفحص
وهذا هوة التقرير

SmitFraudFix v2.419

Scan done at  4:47:59.87, Tue 06/09/2009
Run from G:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{481699BA-5026-4D76-A3E7-0E82C9D3E06D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{481699BA-5026-4D76-A3E7-0E82C9D3E06D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{481699BA-5026-4D76-A3E7-0E82C9D3E06D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

والسلام عليكم ورحمة الله وبركاته

 

[E.x.H]

اخواني بالنسبة للمشكله الاولي بخصوص رسالة دكتور واتسون , اتحلت الحمدلله ومش بتظهر الرسالة حاليا
المشكله الان في الــ صفحة هذه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هية بتظهر لما افتح الجهاز تلاقئيا , وايطا لو قمت بتنفيذ اي امر من الكوماند لين تفتح هذه الصفحه
باختصار الامر يعني هكذا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الخ
ما الحل ؟ وايضا هذه الصفحة ظاهرة في تحليل الهاي جاك
, والسلام عليكم :i:

 

[ugugx]

اخى قم بحذف التالى

O13 - WWW Prefix:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O13 - DefaultPrefix:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
​

 

[MAAX]

اخى قم بحذف التالى​

O13 - WWW Prefix:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O13 - DefaultPrefix:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)​

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll​

k:

طريقة الحذف

​

​