[تم حل المشكلة]فايروس عنيد

  • بادئ الموضوع بادئ الموضوع aly mohmad
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,250
الحالة
مغلق و غير مفتوح للمزيد من الردود.
A

aly mohmad

زيزوومي جديد
إنضم
23 مايو 2008
المشاركات
34
مستوى التفاعل
0
النقاط
40
الإقامة
gaza
غير متصل
السلام عليكم فايروس اسمه backdoor.win32.poison.aedu
ارجو المساعدة لان الكاسبر عاجز امامه
ولكم جزيل الشكر
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
مرفق تقرير هاىجاكLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:21:45 م, on 09/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [FB921EB4] C:\WINDOWS\system32\RLPack.exe
O4 - HKLM\..\Run: [regdiit] C:\WINDOWS\system32\winxp.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: إضافة إلى حاجب إعلان الشعار - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: إحصائيات حماية حركة زيارة الويب - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (ActiveQscan Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{212D859F-44FD-4D6A-A2D8-01C7AE06E06E}: NameServer = 10.20.30.1 1.1.1.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{212D859F-44FD-4D6A-A2D8-01C7AE06E06E}: NameServer = 10.20.30.1 1.1.1.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

--
End of file - 6716 bytes
 
تأييد 0
توقيع : king_man
تأييد 0
بالنسبه لتقرير الهايجاك :

احذف هذه القيم :

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe (file missing)

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe (file missing)

O24 - Desktop Component 0: (no name) - (no file)

طريقة الحذف



mg%20%283%29.png





mg%20%284%29.png



بعدها

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم



عطل برنامج الحمايه واستخدم اداة SmitfraudFix

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

000.png





001.png





002.png





003.png





004.png


005.png

ثم قم بعمل تقرير هايجاك جديد

 
التعديل الأخير بواسطة المشرف:
توقيع : king_man
تأييد 0
اخى قمت بعمل المطلوب جزاك الله كل الخير لكن رابط الاداة الاخيرة غير صالح
 
تأييد 0
وهذا التقرير الجديدLogfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:05:53 م, on 09/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [FB921EB4] C:\WINDOWS\system32\RLPack.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: إضافة إلى حاجب إعلان الشعار - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: إحصائيات حماية حركة زيارة الويب - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {E001C731-5E37-4538-A5CB-8168736A2360} (ActiveQscan Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{212D859F-44FD-4D6A-A2D8-01C7AE06E06E}: NameServer = 10.20.30.1 1.1.1.50
O17 - HKLM\System\CS1\Services\Tcpip\..\{212D859F-44FD-4D6A-A2D8-01C7AE06E06E}: NameServer = 10.20.30.1 1.1.1.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

--
End of file - 5887 bytes
 
تأييد 0
وين النشامى ساعدونى لحل المشكلة
 
تأييد 0
تقرير........
قم بحذف
O24 - Desktop Component 0: (no name) - (no file)

O24 - Desktop Component 1: (no name) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O4 - HKLM\..\Run: [FB921EB4] C:\WINDOWS\system32\RLPack.exe
تقرير جديد
+
ابحث فى السى عن ملف اسمه com.exe
إذا وجدته قم بالاتى

  1. قم بفتح ال task manager وقم بإنهاء الملفان explorer.exe & iexplorer.exe
  2. قم بمسح الملف
    com.exe
  3. قم بحذف المفتاح التالى من الريجسترى
    [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
    {04F4BA85-A3C7-4235-0200-060204060705}]​
  4. هذا إذا وجدته

 
تأييد 0
بالاضافه لكلاام الاحبه ...
اعمل التقرير التالي
حمل الاداة التالية واتبع الشرح لعمل تقرير ورفعه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


i11040_1.png


اعمل كما الصورة لبدء الفحص

i11041_2.png


ثم اعمل التالي لحفظ ملف التقرير

i11042_3.png


بعد حفظه قم بضغط الملف >>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وارفع الملف هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
مرفق لكم التقرير بناء على طلبكم حيث تم File #1:
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
رفعه للموقع الذى حددتموه
 
تأييد 0
يعطيك العافيه ...

لاهنت تقرير للكمبوفيكس
( 1 )

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes​

انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

--------------------------------------------


( 2 )


بعد عمل السابق / اعمل تقرير للهايجاك جديد
 
تأييد 0
شكرا لك اخى زيزوم على اهتمامك ومرفق تقرير كComboFix 09-06-09.01 - الوفاء للكمبيوتر 06/09/2009 23:20.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1256.966.1025.18.1023.665 [GMT 3:00]
Running from: c:\documents and settings\الوفاء للكمبيوتر\سطح المكتب\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf
.
((((((((((((((((((((((((( Files Created from 2009-05-09 to 2009-06-09 )))))))))))))))))))))))))))))))
.
2009-06-09 19:08 . 2009-06-09 19:08 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Local Settings\Application Data\Runscanner.net
2009-06-09 19:04 . 2009-06-09 19:04 -------- d-sh--w- C:\FOUND.013
2009-06-09 16:39 . 2009-06-09 16:39 -------- d-----w- c:\program files\XoftSpySE
2009-06-08 20:01 . 2009-06-08 20:01 -------- d-----w- c:\program files\Skype
2009-06-08 19:22 . 2009-06-08 19:22 206088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-08 19:21 . 2009-06-08 19:22 33808 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-08 19:21 . 2009-06-08 19:22 226832 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-08 18:57 . 2009-06-08 18:57 -------- d-----w- c:\program files\GVR
2009-06-08 18:21 . 2009-06-08 19:22 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-06-08 18:21 . 2009-06-08 19:22 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-06-08 18:21 . 2009-06-09 20:21 32 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-08 18:21 . 2009-06-09 20:21 32 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-06-08 18:21 . 2009-06-08 18:21 -------- d-----w- c:\program files\Kaspersky Lab
2009-06-08 18:21 . 2009-06-08 18:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-06-08 17:58 . 2009-06-08 17:58 -------- d-----w- c:\windows\ServicePackFiles
2009-06-08 17:42 . 2009-06-08 17:42 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\QuickScan
2009-06-08 16:40 . 2009-06-08 16:40 -------- d-sh--w- C:\FOUND.012
2009-06-08 09:43 . 2009-06-08 09:43 -------- d-sh--w- C:\FOUND.011
2009-06-07 16:15 . 2009-06-07 16:15 -------- d-sh--w- C:\FOUND.010
2009-06-07 13:35 . 2009-06-07 13:35 -------- d-sh--w- C:\FOUND.009
2009-06-06 21:18 . 2001-09-18 10:38 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-06-06 21:18 . 2008-04-13 21:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2009-06-05 15:28 . 2009-06-05 15:28 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Local Settings\Application Data\Help
2009-06-05 15:13 . 1998-10-29 13:45 306688 ----a-w- c:\windows\IsUninst.exe
2009-06-05 12:55 . 2009-06-05 12:55 -------- d-sh--w- C:\FOUND.008
2009-06-03 12:23 . 2009-06-03 12:23 -------- d-----w- c:\program files\ReflexiveArcade
2009-06-03 11:23 . 2009-06-07 07:22 30 ----a-w- c:\windows\popcinfo.dat
2009-06-02 20:25 . 2009-06-02 20:25 390664 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Real\RealPlayer\setup\AU_setup6.exe
2009-05-26 11:51 . 2008-04-13 21:15 26112 ----a-w- c:\windows\system32\drivers\usbser.sys
2009-05-26 11:50 . 2008-03-21 10:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
2009-05-25 20:08 . 2009-05-25 20:08 390664 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Real\RealPlayer\Update\RealPlayer11.exe
2009-05-25 19:36 . 2009-05-25 19:36 -------- d-sh--w- C:\FOUND.007
2009-05-25 13:05 . 2008-09-15 04:56 8064 ----a-w- c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-05-25 13:05 . 2008-09-15 04:56 8064 ----a-w- c:\windows\system32\drivers\usbser_lowerflt.sys
2009-05-25 13:05 . 2008-09-15 04:56 22016 ----a-w- c:\windows\system32\drivers\ccdcmbo.sys
2009-05-25 13:05 . 2008-09-15 04:56 659968 ----a-w- c:\windows\system32\nmwcdcocls.dll
2009-05-25 13:05 . 2008-09-15 04:56 17664 ----a-w- c:\windows\system32\drivers\ccdcmb.sys
2009-05-25 13:05 . 2008-09-15 04:29 1112288 ----a-w- c:\windows\system32\wdfcoinstaller01007.dll
2009-05-25 13:05 . 2009-05-25 13:03 33973608 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\نوكيا 6500.exe
2009-05-25 13:05 . 2009-05-25 13:05 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstCCD.exe
2009-05-25 13:05 . 2009-05-25 13:05 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2009-05-25 13:05 . 2009-05-25 13:05 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Installer\CommonCustomActions\UninstPCS.exe
2009-05-25 13:04 . 2009-05-25 13:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations
2009-05-25 11:33 . 2009-05-25 11:33 -------- d-sh--w- c:\documents and settings\الوفاء للكمبيوتر\Phone Browser
2009-05-25 11:30 . 2009-05-25 11:30 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Suite
2009-05-25 11:30 . 2009-05-25 11:30 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Nokia
2009-05-25 11:30 . 2009-05-25 11:30 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\PC Suite
2009-05-25 11:30 . 2008-09-15 04:56 91136 ----a-w- c:\windows\system32\nmwcdcls.dll
2009-05-21 12:26 . 2009-05-21 12:26 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\AdobeUM
2009-05-21 11:09 . 2009-05-21 11:09 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Local Settings\Application Data\Google
2009-05-20 18:50 . 2009-05-20 18:50 -------- d-sh--w- C:\FOUND.006
2009-05-20 09:24 . 2009-05-20 09:24 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Local Settings\Application Data\WMTools Downloaded Files
2009-05-17 10:18 . 2009-05-17 10:18 -------- d-sh--w- C:\FOUND.005
2009-05-15 11:54 . 2004-08-03 21:55 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-05-15 11:54 . 2001-09-18 11:04 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-05-15 11:54 . 2008-04-13 21:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2009-05-11 16:55 . 2009-05-11 16:55 92672 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Mikrotik\Winbox\2.9.27\dhcp.dll
2009-05-11 16:55 . 2009-05-11 16:55 56320 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Mikrotik\Winbox\2.9.27\arlan.dll
2009-05-11 16:55 . 2009-05-11 16:55 73728 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Mikrotik\Winbox\2.9.27\advtool.dll
2009-05-11 16:55 . 2009-05-11 16:55 1266176 ----a-w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Mikrotik\Winbox\2.9.27\roteros.dll
2009-05-11 16:54 . 2009-05-11 16:54 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Mikrotik
2009-05-11 10:32 . 2009-05-11 10:32 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Media Player Classic
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-09 20:21 . 2009-06-08 18:21 32 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-09 20:21 . 2009-06-08 18:21 32 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-09 20:00 . 2001-09-19 09:00 41076 ----a-w- c:\windows\system32\perfc001.dat
2009-06-09 20:00 . 2001-09-19 09:00 254326 ----a-w- c:\windows\system32\perfh001.dat
2009-06-08 19:22 . 2008-01-29 14:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys
2009-05-26 11:50 . 2009-05-26 11:50 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-05-26 11:50 . 2009-05-26 11:50 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-05-10 05:12 . 2009-05-10 05:12 363421 ----a-w- c:\windows\system32\360x180° Mekan.scr
2009-04-25 21:08 . 2006-09-15 03:14 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-04-24 13:56 . 2009-04-24 13:56 4096 ----a-w- c:\windows\d3dx.dat
2009-04-24 12:34 . 2009-04-24 12:33 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\COWON
2009-04-23 20:25 . 2009-04-23 20:19 32854 ----a-w- c:\windows\iniLS.dat
2009-04-23 20:25 . 2009-04-23 20:25 14368 ----a-w- c:\windows\skype.dat
2009-04-23 20:15 . 2009-04-23 20:15 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-04-23 20:15 . 2009-04-23 20:15 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\skypePM
2009-04-23 20:12 . 2009-04-23 20:12 -------- d-----w- c:\documents and settings\الوفاء للكمبيوتر\Application Data\Skype
2009-04-23 20:12 . 2009-04-23 20:12 -------- d-----w- c:\program files\Common Files\Skype
2009-04-23 20:11 . 2009-04-23 20:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-04-23 20:11 . 2009-04-23 20:11 -------- d-----w- c:\program files\BackgammonMasters
2009-04-23 19:57 . 2009-04-23 19:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-04-23 19:52 . 2009-04-23 19:51 -------- d-----w- c:\program files\AutorunRemover
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2006-09-15 2606512]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-08-16 5728112]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2005-11-23 1060864]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-11 7323648]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-11 86016]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2006-09-15 185896]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-06-08 206088]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-01-11 1519616]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\çں‍ê، ں §ڑ\ںé ©ںê¤\ §ک ں颬نïé\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe]
"Debugger"=c:\windows\system32\wscript.exe /E:vbs c:\windows\system32\winjpg.jpg
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\dwwinxp.exe]
"Debugger"=c:\windows\system32\winxp.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 05:29 م 33808]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13/03/2008 06:02 م 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 05:06 م 24592]
S3 PciCon;PciCon;\??\g:\pcicon.sys --> g:\PciCon.sys [?]
.
Contents of the 'Scheduled Tasks' folder
2009-06-09 c:\windows\Tasks\XoftSpySE.job
- c:\program files\XoftSpySE\XoftSpy.exe [2009-03-11 05:43]
2009-06-09 c:\windows\Tasks\XoftSpySE 2.job
- c:\program files\XoftSpySE\XoftSpy.exe [2009-03-11 05:43]
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-regdiit - c:\windows\system32\winxp.exe
SafeBoot-procexp90.Sys

.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
mStart Page = hxxp://www.msn.com
uInternet Connection Wizard,ShellNext = iexplore
IE: &تصدير إلى Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: تحميل الكل بـ إنترنت داونلود مانيجر - c:\program files\Internet Download Manager\IEGetAll.htm
IE: تحميل بـ إنترنت داونلود مانيجر - c:\program files\Internet Download Manager\IEExt.htm
IE: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - c:\program files\Internet Download Manager\IEGetVL.htm
TCP: {212D859F-44FD-4D6A-A2D8-01C7AE06E06E} = 10.20.30.1 1.1.1.50
.
.
------- File Associations -------
.
txtfile=c:\windows\notepad.exe %1
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-06-09 23:23
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{597493eb-2744-47a1-ab7c-68586d4bfb34}]
@Denied: (Full) (Everyone)
"Model"=dword:00000070
"Therad"=dword:00000001
"MData"=hex(0):cb,9b,ad,ef,27,7d,29,69,f5,02,f0,76,aa,4a,f1,7c,d3,d9,67,7f,6a,
4b,7b,ad,04,7a,b1,b5,76,9b,27,47,1c,05,18,a6,ba,8c,4b,d8,b2,33,ba,57,5b,6a,\
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):f7,33,ab,ce,93,12,9c,0e,0e,12,58,46,65,1e,1d,5d,a9,af,69,a4,cf,
5d,99,4a,af,8a,2a,c2,bc,87,b1,90,25,b8,00,f8,56,31,78,be,00,00,00,00,00,00,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'explorer.exe'(736)
c:\windows\system32\ieframe.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\SYSTEM32\RUNDLL32.EXE
c:\program files\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-06-09 23:24 - machine was rebooted
ComboFix-quarantined-files.txt 2009-06-09 20:24
Pre-Run: 31,607,685,120 bytes free
Post-Run: 31,561,056,256 bytes free
217
مبو فيكس
 
تأييد 0
يعطيك العافيه ..

عطل برنامج الحماية الموجود
وحمل هذا الملف وقم بتشغيله ,, لحظات وينعاد تشغيل الجهاز تلقائياا
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وبعد اعادة التشغيل ,, سوف يظهر لك تقرير انسخه والصقه بردك القادم


ومن ثم افتح محرك الاقراص سي
سوف تجد " مجلد " باسم avenger
اضغطه بما فيه من ملفات ,,, وارفعه على هذا الموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
شكرا لك اخى زيزوم حيث تم حل المشكلة من خلال الادوات التى رفعتها وتوجيهاتك العظيمة والشكر موصول لجميع الاخوة الذين حاولوا المساعدة ودمتم بالف خير
 
تأييد 0
مشكور اخ مصطفى على مرورك الطيب
 
تأييد 0
بالتوفيق يارب
 
توقيع : AbOdy
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى