جهاز مصاب بفيرس worm.win32 fujack.aa فإلى أين أتجه

  • بادئ الموضوع بادئ الموضوع ahmed_asg
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,951
الحالة
مغلق و غير مفتوح للمزيد من الردود.
A

ahmed_asg

زيزوومى فعال
إنضم
6 مارس 2008
المشاركات
223
مستوى التفاعل
108
النقاط
310
الإقامة
مصر
غير متصل
السلام عليكم ورحمة الله وبركاته
بداية آسف إذا كنت خرقت القوانين فهذه أول مشاركة لي
وجهازي مصاب وفي حالة متأخرة ولا أعرف ماذا أفعل وإلى منتدى هنا أتجه
يوجد منتدى هل جهازي مصاب
ولكن لم أجد منتدي جهازك مصاب إليك الحل
فأعتذر لأني لجأت إلى هذه الطريقة ولكن أرجوا المساعدة
المشكلة كالتالي
أصيب جهازي بفيرس لعين اسمه
Worm.Win32.Fujack.aa
برنامج الأنتي فيرس لدي هو الكاسبر وشغال ويتم تحدثه بنسبة 100% إلا أني الفيرس دخل عندما قررت أستعمل برنامج غيره وعدما عدت إليه وجدت الفيرس
الكاسبر شايف الفيرس إلا إن الفيرس كل ما ينحذف يرجع تاني
وأظن أن له كما يقولون سيرفر على الجهاز هيه اللي بتشغله والكاسبر مش عارف يشوفها
إضطررت اليوم لحذف بارتيشن كامل وعمل فورمات له إلا إن لما حاولت اعمل اسكان من الدوس باسطوانة الهرنس عن طريق المكافي وجدته ظهر في بارتيشن تاني وأنا مش عايز أفرمت الجهاز كله
الله يكرمك لو هناك حل قلي عليه أنا بحثت على جوجل ولم أجد حل
هذه صورة من الكاسبر
a7oka163zd33crlj1mpn.jpg

أرجوا الرد سريعا الله يكرمكم قبل فوات الآوان
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
مرحباً بك اخي الغالي


وتم نقل الموضوع في قسمه المناسب
 
توقيع : احمد زلمة
تأييد 0
وعليكم السلام

يعطيك العافية مشرفنا الغالي

اخوي خلينا نشوف التقرير

حمل هذا البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم
 
توقيع : AbOdy
تأييد 0
السلام عليكم إخواني
جزاكم الله خيرا على الإستجابة ونقل الموضوع إلى القسم المناسب
هذا هو التقرير أخي
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:39:52 AM, on 3/14/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\VMSnap5.EXE
C:\WINDOWS\Domino.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Download\Zyzoom_HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: l=Explorer.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VMSnap5] C:\WINDOWS\VMSnap5.EXE
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246
O17 - HKLM\System\CS1\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246
O17 - HKLM\System\CS2\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)
--
End of file - 6260 bytes

أسأل الله أن أجد الحل عندكم إن شاء الله
للعلم أخي الكريم أنا لسه منزل ويندز بعد الفورمات اليوم ولم أقم بتنصيب أي برامج عليه من الزهق بصراحة
بارك الله فيكم
وجعله في ميزان حسناتكم
 
تأييد 0
مرحبا بك اخي الكريم
اولا عطل نقطة الاستعادة حسب الشرح التالي

dis_sys_xp.jpg


بعدها لا تقم بفتح اي قرص او فلاش او هارد خارجي ولا تثبت اي برنامج حتى ننتهي

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



عند تشغيلها بتظهر لك رسالة ,, اضغط على Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على Yes


انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم


ثم اعمل تقرير هايجاك ثاني نفس التقرير الاول
 
تأييد 0
طيب أول جربت تحاول تحذفه بالكااسبر من االسيف مود وتتبع مساراته وتحذفه أنت .. ؟
 
تأييد 0
جرب برنامج
Spyware Doctor
 
تأييد 0
شسويله بعد قال:
مرحبا بك اخي الكريم
اولا عطل نقطة الاستعادة حسب الشرح التالي

dis_sys_xp.jpg

بعدها لا تقم بفتح اي قرص او فلاش او هارد خارجي ولا تثبت اي برنامج حتى ننتهي

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


عند تشغيلها بتظهر لك رسالة ,, اضغط على Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على Yes


انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم


ثم اعمل تقرير هايجاك ثاني نفس التقرير الاول
أنقر للتوسيع...

أخي الكريم بداية وقبل أي شئ جزاكالله خيرا على المتابعة ثانيا فعلت ما قلت لي ولكن البرنامج لم يجعل الجهاز يقوم بعمل ريستارت ولكن فحص وأعطى تقرير طوالي وهذا هو التقريرComboFix 08-03-13.4 - XPPRESP3 2008-03-14 14:28:11.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1256.966.1033.18.662 [GMT 2:00]Running from: C:\Documents and Settings\XPPRESP3\Desktop\ComboFix.exeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\pskill.exeC:\WINDOWS\system32\x64.((((((((((((((((((((((((( Files Created from 2008-02-14 to 2008-03-14 ))))))))))))))))))))))))))))))).2008-03-14 13:43 . 2008-03-14 13:44 d-------- C:\Program Files\Microsoft Works2008-03-14 13:42 . 2008-03-14 13:42 d-------- C:\Program Files\Microsoft.NET2008-03-14 13:37 . 2008-03-14 13:38 d-------- C:\WINDOWS\LNEW2008-03-14 13:37 . 2008-03-14 13:44 d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help2008-03-14 13:36 . 2008-03-14 13:36 dr-h----- C:\MSOCache2008-03-13 18:07 . 2008-03-13 18:07 d-------- C:\Program Files\Common Files\Adobe2008-03-13 18:00 . 2008-03-13 18:00 d-------- C:\Program Files\Java2008-03-13 18:00 . 2008-03-13 18:00 d-------- C:\Program Files\Common Files\Java2008-03-13 18:00 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl2008-03-13 17:37 . 2008-03-13 17:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-03-13 17:37 . 2008-03-13 17:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-03-13 17:36 . 2008-03-13 17:36 d-------- C:\Program Files\Kaspersky Lab2008-03-13 17:36 . 2008-03-14 13:31 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab2008-03-13 17:36 . 2008-03-14 14:29 765,216 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-03-13 17:36 . 2008-03-14 14:29 35,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-03-13 17:36 . 2008-03-14 05:48 9,284 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-03-13 17:36 . 2008-03-14 05:48 2,972 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-03-13 17:34 . 2008-03-13 17:34 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files2008-03-13 15:32 . 2008-03-14 02:30 d-------- C:\Program Files\NoAdware5.02008-03-13 15:23 . 2008-03-13 15:23 d-------- C:\Program Files\Internet Download Manager2008-03-13 15:05 . 2008-03-13 15:05 8,192 --a------ C:\WINDOWS\REGLOCS.OLD.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-03-14 12:22 --------- d-----w C:\Documents and Settings\XPPRESP3\Application Data\IDM2008-03-14 11:31 --------- d-----w C:\Documents and Settings\XPPRESP3\Application Data\DMCache2008-03-13 14:14 --------- d-----w C:\Program Files\MultiYahoo!92008-03-13 14:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo!2008-03-13 14:08 --------- d-----w C:\Program Files\Yahoo!2008-03-13 12:40 --------- d-----w C:\Program Files\DAMN NFO Viewer2008-03-13 12:37 --------- d-----w C:\Program Files\Desktop2008-03-13 12:36 --------- d-----w C:\Program Files\Unlocker2008-03-13 12:36 --------- d-----w C:\Program Files\Graphics2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat.------- Sigcheck -------2005-07-13 03:07 360448 0601f83f6784c220ee302f03f702316e C:\WINDOWS\system32\drivers\tcpip.sys.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 18:00 15360]"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-12-17 17:13 3810544]"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-03-13 15:23 932864][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-05 15:11 98304]"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-05 15:13 114688]"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-05 15:10 94208]"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.EXE]"SkyTel"="SkyTel.EXE" [2007-04-04 11:22 1822720 C:\WINDOWS\SkyTel.exe]"VMSnap5"="C:\WINDOWS\VMSnap5.EXE" [2006-06-28 11:39 49152]"Domino"="C:\WINDOWS\Domino.EXE" [2006-06-28 11:54 49152]"BigDog305"="C:\WINDOWS\VM305_STI.exe" [ ]"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 18:00 15360][HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-06-21 04:44]R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]R3 ZSMC0305;VIMICRO USB PC Camera V;C:\WINDOWS\system32\Drivers\usbVM305.sys [2006-08-01 13:23][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]WudfServiceGroup REG_SZ hex(7):57,00,55,00,44,00,46,00,53,00,76,00,63,00,00,00,00,00.**************************************************************************catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
scan 2008-03-14 14:29:16Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...HKLM\Software\Microsoft\Windows\CurrentVersion\Run BigDog305 = C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? scanning hidden files ... scan completed successfully hidden files: 0 **************************************************************************[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfPf]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfRd]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00""ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfPf]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfRd]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00""ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00".Completion time: 2008-03-14 14:30:06ComboFix-quarantined-files.txt 2008-03-14 12:30:04***********************************************************وهذا تقرير الهاي جاكLogfile of Trend Micro HijackThis v2.0.2Scan saved at 14:35, on 3/14/2008Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\igfxtray.exeC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\VMSnap5.EXEC:\WINDOWS\Domino.EXEC:\Program Files\Java\jre1.6.0_03\bin\jusched.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Internet Download Manager\IDMan.exeC:\Program Files\Internet Download Manager\IEMonitor.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeD:\Portable\TheWorld\TheWorld Final 2.1.2.0 en\TheWorld.exeC:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exeC:\WINDOWS\explorer.exeD:\Download\Zyzoom_HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htmO2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [SkyTel] SkyTel.EXEO4 - HKLM\..\Run: [VMSnap5] C:\WINDOWS\VMSnap5.EXEO4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXEO4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quietO4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onbootO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exeO4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exeO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htmO8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htmO8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=http://www.google.comO17 - HKLM\System\CCS\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O17 - HKLM\System\CS1\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O17 - HKLM\System\CS2\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exeO23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)--End of file - 6511 bytesأرجوا أن أكون وفقت فما قلت لي والله كريم إن شاء الله ويخلصنا من هذا الفيروس اللعين
 
تأييد 0
sami-254 قال:
طيب أول جربت تحاول تحذفه بالكااسبر من االسيف مود وتتبع مساراته وتحذفه أنت .. ؟
أنقر للتوسيع...

أخي أجرب إن شاء الله ولكن جربت من الويندز العادي بالكاسبر وبعد فترة ملئ الفيرس الدرايف الذي كان يظهر عليه بالجهاز
 
تأييد 0
boob77 قال:
جرب برنامج
Spyware Doctor
أنقر للتوسيع...

جربت فلم يظهر على السباي وير دكتورفهذا الفيرس غريب يختفي فترة ثم يظهر ثانية ويظل يختفي ويظهر حتى تفاجأ بانه قد دمر الدرايف بالكامل ثم ينتقل إلى درايف أخر منه لله
 
تأييد 0
أخــوي احــذف هالبرنامـج لأنه هــو مصــدر الفــايروس

E:/Games.exe

 
تأييد 0
اخي التقرير منسوخ بشكل خاطىء
اعمل كل تقرير بمشاركة مستقلة
 
تأييد 0
سلام عليكم أخي هذا تقرير الأداة الأولى

ComboFix 08-03-13.4 - XPPRESP3 2008-03-14 14:28:11.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1256.966.1033.18.662 [GMT 2:00]Running from: C:\Documents and Settings\XPPRESP3\Desktop\ComboFix.exeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\pskill.exeC:\WINDOWS\system32\x64.((((((((((((((((((((((((( Files Created from 2008-02-14 to 2008-03-14 ))))))))))))))))))))))))))))))).2008-03-14 13:43 . 2008-03-14 13:44 d-------- C:\Program Files\Microsoft Works2008-03-14 13:42 . 2008-03-14 13:42 d-------- C:\Program Files\Microsoft.NET2008-03-14 13:37 . 2008-03-14 13:38 d-------- C:\WINDOWS\LNEW2008-03-14 13:37 . 2008-03-14 13:44 d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help2008-03-14 13:36 . 2008-03-14 13:36 dr-h----- C:\MSOCache2008-03-13 18:07 . 2008-03-13 18:07 d-------- C:\Program Files\Common Files\Adobe2008-03-13 18:00 . 2008-03-13 18:00 d-------- C:\Program Files\Java2008-03-13 18:00 . 2008-03-13 18:00 d-------- C:\Program Files\Common Files\Java2008-03-13 18:00 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl2008-03-13 17:37 . 2008-03-13 17:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-03-13 17:37 . 2008-03-13 17:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-03-13 17:36 . 2008-03-13 17:36 d-------- C:\Program Files\Kaspersky Lab2008-03-13 17:36 . 2008-03-14 13:31 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab2008-03-13 17:36 . 2008-03-14 14:29 765,216 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-03-13 17:36 . 2008-03-14 14:29 35,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-03-13 17:36 . 2008-03-14 05:48 9,284 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-03-13 17:36 . 2008-03-14 05:48 2,972 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-03-13 17:34 . 2008-03-13 17:34 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files2008-03-13 15:32 . 2008-03-14 02:30 d-------- C:\Program Files\NoAdware5.02008-03-13 15:23 . 2008-03-13 15:23 d-------- C:\Program Files\Internet Download Manager2008-03-13 15:05 . 2008-03-13 15:05 8,192 --a------ C:\WINDOWS\REGLOCS.OLD.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-03-14 12:22 --------- d-----w C:\Documents and Settings\XPPRESP3\Application Data\IDM2008-03-14 11:31 --------- d-----w C:\Documents and Settings\XPPRESP3\Application Data\DMCache2008-03-13 14:14 --------- d-----w C:\Program Files\MultiYahoo!92008-03-13 14:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo!2008-03-13 14:08 --------- d-----w C:\Program Files\Yahoo!2008-03-13 12:40 --------- d-----w C:\Program Files\DAMN NFO Viewer2008-03-13 12:37 --------- d-----w C:\Program Files\Desktop2008-03-13 12:36 --------- d-----w C:\Program Files\Unlocker2008-03-13 12:36 --------- d-----w C:\Program Files\Graphics2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat.------- Sigcheck -------2005-07-13 03:07 360448 0601f83f6784c220ee302f03f702316e C:\WINDOWS\system32\drivers\tcpip.sys.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 18:00 15360]"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-12-17 17:13 3810544]"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-03-13 15:23 932864][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-05 15:11 98304]"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-05 15:13 114688]"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-05 15:10 94208]"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 09:28 16126464 C:\WINDOWS\RTHDCPL.EXE]"SkyTel"="SkyTel.EXE" [2007-04-04 11:22 1822720 C:\WINDOWS\SkyTel.exe]"VMSnap5"="C:\WINDOWS\VMSnap5.EXE" [2006-06-28 11:39 49152]"Domino"="C:\WINDOWS\Domino.EXE" [2006-06-28 11:54 49152]"BigDog305"="C:\WINDOWS\VM305_STI.exe" [ ]"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 18:00 15360][HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l251x86.sys [2007-06-21 04:44]R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]R3 ZSMC0305;VIMICRO USB PC Camera V;C:\WINDOWS\system32\Drivers\usbVM305.sys [2006-08-01 13:23][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]WudfServiceGroup REG_SZ hex(7):57,00,55,00,44,00,46,00,53,00,76,00,63,00,00,00,00,00.**************************************************************************catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
scan 2008-03-14 14:29:16Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...HKLM\Software\Microsoft\Windows\CurrentVersion\Run BigDog305 = C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)???????????????????0?????????@?????????????? scanning hidden files ... scan completed successfully hidden files: 0 **************************************************************************[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfPf]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfRd]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00""ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfPf]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,57,00,75,00,64,00,66,00,50,00,66,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfRd]"ImagePath"="hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,00,49,00,56,00,45,00,52,00,53,00,5c,00,77,00,75,00,64,00,66,00,72,00,64,00,2e,00,73,00,79,00,73,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00"[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\WudfSvc]"ImagePath"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00""ServiceDll"="hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,57,00,55,00,44,00,46,00,53,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00".Completion time: 2008-03-14 14:30:06ComboFix-quarantined-files.txt 2008-03-14 12:30:04
 
تأييد 0
هذا تقرير الهايجاك
وهذا تقرير الهاي جاكLogfile of Trend Micro HijackThis v2.0.2Scan saved at 14:35, on 3/14/2008Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\igfxtray.exeC:\WINDOWS\system32\hkcmd.exeC:\WINDOWS\system32\igfxpers.exeC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\VMSnap5.EXEC:\WINDOWS\Domino.EXEC:\Program Files\Java\jre1.6.0_03\bin\jusched.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Internet Download Manager\IDMan.exeC:\Program Files\Internet Download Manager\IEMonitor.exeC:\Program Files\Yahoo!\Messenger\ymsgr_tray.exeD:\Portable\TheWorld\TheWorld Final 2.1.2.0 en\TheWorld.exeC:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exeC:\WINDOWS\explorer.exeD:\Download\Zyzoom_HijackThis.exeR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
- HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htmO2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exeO4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exeO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [SkyTel] SkyTel.EXEO4 - HKLM\..\Run: [VMSnap5] C:\WINDOWS\VMSnap5.EXEO4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXEO4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quietO4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onbootO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exeO4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exeO6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htmO8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htmO8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLLO14 - IERESET.INF: START_PAGE_URL=http://www.google.comO17 - HKLM\System\CCS\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O17 - HKLM\System\CS1\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O17 - HKLM\System\CS2\Services\Tcpip\..\{05A2B959-0A8A-4E4A-81F4-D6658280CA96}: NameServer = 213.131.66.138,213.131.66.246O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exeO23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)--End of file - 6511 bytes
 
تأييد 0
تأييد 0
باستخدام اداة الهايجاك ،، طبق الشرح التالي على هذه القيمة

C:\WINDOWS\VMSnap5.EXE

cca%20(8).png


cca%20(9).png


cca%20(10).png


cca%20(11).png


cca%20(12).png


cca%20(13).png


cca%20(14).png


ثم حدد القيم التالية واحذفها

O4 - HKLM\..\Run: [VMSnap5] C:\WINDOWS\VMSnap5.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{56E02A9A-E340-433E-AD7C-6139F95AD7FD}: NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



طريقة الحذف


mg%20(3).png


mg%20(4).png



ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png


ثم ركب ملف الاعدادات التالي على الكاسبر اللي عندك وافحص جهازك كامل

اعدادات الكاسبر انتي فايروس ( 7 )
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شرح التركيب

000.png



001.png



002.png



003.png


ثم ارفع تقرير هايجاك ثاني​
 
تأييد 0
أخي الكريم شسويلة بعد والله أنا لا اجد ما أقوله لك وتعجز كلماتي عن شكرك
هل أشكرك على الشرح الوافي لإستخدام الأدوات التي تضعها
أم أشكرك على المتابعة معي باستمرار
أم اشكرك على تبعك دون مقابل إلا من الله
وإن شكرتك أخي فلن أوفيك حقك
أقول جزاك الله خيرا
وأسأل الله أن يكون هذا العمل خالصا لوجهه الكرم وأن يثيبك عليه وأن يجعله في ميزان حسناتك يوم القيامة
طبقت ما فعلت أخي ولكن لماذا أخي قام بمسح النيم سيرفر من الجهاز حتى أني ظننت أن هناك مشكلة
فكتبته ثانية فعمل النت بلا مشاكل هل النيم سيرفر به مشكلة
هذا NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حين الإنتهاء سوف أرفع تقرير إن شاء الله
 
تأييد 0
ahmed_asg قال:
أخي الكريم شسويلة بعد والله أنا لا اجد ما أقوله لك وتعجز كلماتي عن شكرك
هل أشكرك على الشرح الوافي لإستخدام الأدوات التي تضعها
أم أشكرك على المتابعة معي باستمرار
أم اشكرك على تبعك دون مقابل إلا من الله
وإن شكرتك أخي فلن أوفيك حقك
أقول جزاك الله خيرا
وأسأل الله أن يكون هذا العمل خالصا لوجهه الكرم وأن يثيبك عليه وأن يجعله في ميزان حسناتك يوم القيامة
طبقت ما فعلت أخي ولكن لماذا أخي قام بمسح النيم سيرفر من الجهاز حتى أني ظننت أن هناك مشكلة
فكتبته ثانية فعمل النت بلا مشاكل هل النيم سيرفر به مشكلة
هذا NameServer =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حين الإنتهاء سوف أرفع تقرير إن شاء الله
أنقر للتوسيع...

ادعو الله ان يتقبل دعائك وان يجمعنا بك في جنات النعيم

الشكر لله اخي الكريم
وماسوينا غير الواجب

بالنسبة للنيم سيرفر اذا تعرفه خليه لا تحذفه

وبانتظار باقي النتائج
 
تأييد 0
أخي الكريم شسويلة بعد والله أنت عملت الواجب وزيادة ربنا يبارك فيك
هذا هو تقرير الهاجيك بعد الإسكان وتطبيق جميع ما في الشرح بالحرف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى