محتاجه مساعدتكم كيف اعرف اذا جهازي مخترق

jo0oRi · 24 يونيو 2009

السلام عليكم ورحمة الله وبركاته

محتاجه طريقه اعرف فيها اذا جهازي مخترق ضروري :er:

نظام جهازي ويندوز فيستا هوم بريميوم ..

الله يعافيكم اللي عنده الحل لايبخل علي فيه

واكون شآكره لكم ..

في امآن الله

mr.nsaany · 24 يونيو 2009

السلام عليكم ورحمة الله وبركاته

آلطريقة الأولى :

1- أنقر على ابدأ
2- اكتب في خانة التشغيل Run الأمر Win.ini
3- موافق
سوف تفتح لك المفكرة الأخرى : لاحظ السطر الخامس والسادس
إذا وجدت في أحد هذان السطران أي نجوم ***
أو علامات استفهام ؟؟؟
أو xxx قم بمسحها أي ( مسح النجوم وعلامات الاستفهام والأ** ) ثم أضغط موافق .

====الطريقة الثانية====

من الدوس اكتب dir patch ثم أضغط ENTER
إذا كان جهازك سليم سوف تكون
لنتيجة بهذا الشكل volume in drive c has no label
Volume serial number is
Directory of c: \ W i n d o w s
File not found إذا وجدت الباتش احذفه بالطريقة التالية :
C:\ W i n d o w s\ delete patch
مع ملاحظة الغاء المسافات بين كلمة ويندوز

====الطريقة الثالثة====

- أنقر على أبدأ
2- أكتب في خانة التشغيل run الأمر : system.ini ثم أضغط OK
سوف تفتح المفكرة .. إذا كان جهازك سليم سوف تجد بالسطر الثالث هذه العبارة ****l=Explorer.exe
وإذا وجدت أي زيادة بهذه الجملة مثلاً : نجوم **، أو علامات إستفهام ؟؟ ،
أو xxx قم بمسح أي زيادة على تلك الجملة ثم أضغط موافق.

====الطريقة الرابعة====

من ملف تسجيل النظام Registry
1- أنقر على ابدأ
2- أكتب في خانة التشغيل run الأمر التالي Regedit ثم Ok
ثم افتح المجلدات التالية حسب الترتيب التالي :
1- HKEY_LOCAL_MACHINE
2- SOFTWARE
3- MICROSOFT
4- W I N D O W S
5- CURRENT VERSION
6- RUN إذا فتحت ملف RUN سوف تفتح لك نافذة تسجيل
النظام وسوف تجد في أعلاها من جهة الشمال أسماء الملفات
التي تعمل مع قائمة بدء التشغيل وفي أعلاها من جهة اليمين

عناوين الملفات هكذا :
n a m es __________ data
إذا وجدت ملف لا يقابله عنوان في DATA أو ظهر أمامه سهم صغير هكذا <--- فهو ملف تجسس

تخلص من بالضغط على زر الفارة الأيمن ثم DELETE

أبحث في كل ملفات Run

وإذا وجدت أي ملف باسم Patch أو باسم

Server.exe أو باسم Explo32 أكتب اسمه

كامل ثم قم بحذفه delete ....

ثم أعد تشغيل الجهاز ثم اذهب إلى قائمة ابدأ ثم اختر بحث ثم ابحث عن اسم ملف التجسس اللي أنت حذفته من
الريجستري .. اختر البحث في جهاز الكمبيوتر

إذا وجدته قم بحذفه بعد التأكد التام

====الطريقة الخامسة====

من قائمة بدأ التشغيل

1- أنقر على أبدأ

2- اكتب في خانة التشغيل RUN الأمر التالي : MSCONFIG

3- ثم أضغط موافق

4- أفتح بدأ التشغيل وسوف تظهر لك شاشة تعرض لك كل

البرامج التي تبدأ العمل مباشرة مع بدأ التشغيل

إذا وجدت أي برنامج غريب لم تقم انت بتنصيبه شيل علامة

الصح الموجودة في المربع المقابل لاسم الملف ثم أضغط موافق

ثم وافق على إعادة تشغيل الجهاز ينتهي مفعوله.

ملحوظة الحروف المتابعدة فى الكلمات يرجى مسح الفواصل بينها

فارس الملاك · 24 يونيو 2009

mr.nsaany قال:
السلام عليكم ورحمة الله وبركاته

آلطريقة الأولى :

1- أنقر على ابدأ
2- اكتب في خانة التشغيل run الأمر win.ini
3- موافق
سوف تفتح لك المفكرة الأخرى : لاحظ السطر الخامس والسادس
إذا وجدت في أحد هذان السطران أي نجوم ***
أو علامات استفهام ؟؟؟
أو xxx قم بمسحها أي ( مسح النجوم وعلامات الاستفهام والأ** ) ثم أضغط موافق .

====الطريقة الثانية====

من الدوس اكتب dir patch ثم أضغط enter
إذا كان جهازك سليم سوف تكون
لنتيجة بهذا الشكل volume in drive c has no label
volume serial number is
directory of c: \ w i n d o w s
file not found إذا وجدت الباتش احذفه بالطريقة التالية :
C:\ w i n d o w s\ delete patch
مع ملاحظة الغاء المسافات بين كلمة ويندوز

====الطريقة الثالثة====

- أنقر على أبدأ
2- أكتب في خانة التشغيل run الأمر : System.ini ثم أضغط ok
سوف تفتح المفكرة .. إذا كان جهازك سليم سوف تجد بالسطر الثالث هذه العبارة ****l=explorer.exe
وإذا وجدت أي زيادة بهذه الجملة مثلاً : نجوم **، أو علامات إستفهام ؟؟ ،
أو xxx قم بمسح أي زيادة على تلك الجملة ثم أضغط موافق.

====الطريقة الرابعة====

من ملف تسجيل النظام registry
1- أنقر على ابدأ
2- أكتب في خانة التشغيل run الأمر التالي regedit ثم ok
ثم افتح المجلدات التالية حسب الترتيب التالي :
1- hkey_local_machine
2- software
3- microsoft
4- w i n d o w s
5- current version
6- run إذا فتحت ملف run سوف تفتح لك نافذة تسجيل
النظام وسوف تجد في أعلاها من جهة الشمال أسماء الملفات
التي تعمل مع قائمة بدء التشغيل وفي أعلاها من جهة اليمين

عناوين الملفات هكذا :
N a m es __________ data
إذا وجدت ملف لا يقابله عنوان في data أو ظهر أمامه سهم صغير هكذا <--- فهو ملف تجسس

تخلص من بالضغط على زر الفارة الأيمن ثم delete

أبحث في كل ملفات run

وإذا وجدت أي ملف باسم patch أو باسم

server.exe أو باسم explo32 أكتب اسمه

كامل ثم قم بحذفه delete ....

ثم أعد تشغيل الجهاز ثم اذهب إلى قائمة ابدأ ثم اختر بحث ثم ابحث عن اسم ملف التجسس اللي أنت حذفته من
الريجستري .. اختر البحث في جهاز الكمبيوتر

إذا وجدته قم بحذفه بعد التأكد التام

====الطريقة الخامسة====

من قائمة بدأ التشغيل

1- أنقر على أبدأ

2- اكتب في خانة التشغيل run الأمر التالي : Msconfig

3- ثم أضغط موافق

4- أفتح بدأ التشغيل وسوف تظهر لك شاشة تعرض لك كل

البرامج التي تبدأ العمل مباشرة مع بدأ التشغيل

إذا وجدت أي برنامج غريب لم تقم انت بتنصيبه شيل علامة

الصح الموجودة في المربع المقابل لاسم الملف ثم أضغط موافق

ثم وافق على إعادة تشغيل الجهاز ينتهي مفعوله.

ملحوظة الحروف المتابعدة فى الكلمات يرجى مسح الفواصل بينها

وعليكم السلام والرحمة

عزيزي من وين جبت لي هالطررق

ترى كلها ماتنفع وربما تسبب مشااكل للاعضاء عند تطبيقها

اتمنى ان تكون حذرا في مشاركاتك السابقة

تحياتي

اتمنى عدم التطبييق

فارس الملاك · 24 يونيو 2009

عذرا بنقل الموضوع للقسم الانسب حتى تلقى الدعم الافضل

فارس الملاك · 24 يونيو 2009

اختي بالنسبة حق سؤالك

هو عن طريق التقارير وتحليلها

حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم

jo0oRi · 24 يونيو 2009

يعطيك العافيه فارس الملاك..

حملته وضغطت على Do a system scan and save log

بس قبل يطلع لي التقرير طلعت لي هذي الرساله واخترت موافق

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ادري ماله داعي اصورها لك بس لأني مو عارفه شي

وهذا التقرير
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:45 ص, on 24/06/09
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal
Running processes:
E:\Windows\system32\taskeng.exe
E:\Windows\system32\Dwm.exe
E:\Windows\Explorer.EXE
E:\Program Files\Windows Defender\MSASCui.exe
E:\Windows\System32\igfxtray.exe
E:\Windows\System32\hkcmd.exe
E:\Windows\System32\igfxpers.exe
E:\Program Files\DellTPad\Apoint.exe
E:\Windows\System32\WLTRAY.EXE
E:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
E:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
E:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
E:\Windows\system32\igfxsrvc.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Windows Sidebar\sidebar.exe
E:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
E:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
E:\Windows\ehome\ehtray.exe
E:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
E:\Program Files\Dell\QuickSet\quickset.exe
E:\Windows\ehome\ehmsas.exe
E:\Program Files\DellTPad\HidFind.exe
E:\Program Files\DellTPad\Apntex.exe
E:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
E:\Windows\explorer.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Internet Explorer\ieuser.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Users\home\Desktop\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] E:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] E:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] E:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] E:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IAAnotif] "E:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [egui] "E:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] E:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] E:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [{9D71D88C-C598-4935-C5D1-43AA4DB90836}] E:\Users\home\AppData\Roaming\Bifrost\server.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: QuickSet.lnk = E:\Program Files\Dell\QuickSet\quickset.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - E:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - E:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - E:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: iPod Service - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - E:\Windows\System32\WLTRYSVC.EXE
--
End of file - 7529 bytes

^_^

jo0oRi · 24 يونيو 2009

mr.nsaany

مشكوووور اخوي على الطرق ماقصرت

^_^

protection · 24 يونيو 2009

والله أني ضعيف بتحليل التقرير ^_^

ان شاء الله الخبراء يحللون التقرير ..

لكن نصيحه أحذفي النود (( لانه ضعيف وخاصة بما يخص الهكر .. واذا كان مفعل بكرك ))

نصبي الافيرا ..

jo0oRi · 24 يونيو 2009

protection

يعطيك العافيه ع الرد والنصيحه وان شاء الله بغير النود قالوا لي ضعيف وكلامك ااكد لي ..

ياليت احد يحلل لي التقرير ويريحني اذا مخترق والا لا :er:

^_^

protection · 24 يونيو 2009

jo0oRi قال:
protection

يعطيك العافيه ع الرد والنصيحه وان شاء الله بغير النود قالوا لي ضعيف وكلامك ااكد لي ..

ياليت احد يحلل لي التقرير ويريحني اذا مخترق والا لا :er:

^_^

اذا خلص تحليل تقريرك .. زوري هذا الموضوع للفائده

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

[/URL]

C0DeZeR0 · 24 يونيو 2009

حياك الله اختى

O4 - HKCU\..\Run: [{9D71D88C-C598-4935-C5D1-43AA4DB90836}] E:\Users\home\AppData\Roaming\Bifrost\server.exe

احذفى هذه القيمه

(( افتكر)) ان جهازك مخترق

قومى بعمل فحص كامل على الجهاز

بسبب وجود قيمه برنامج البيفروست وهو برنامج اختراق ,,

قومى بحذف هذه القيمه وادخلى على البراامج التى تعمل فى بدايه التشغيل وقومى بازااله اى ملف اسمه

server.exe من بدايه التشغيل

وادخلى على هذا المسار

c:/Prgarme files

وشوفى لو لقيتى مجلد باسم دة bifrost

احذفيه فى الوضع الامنى

-------------------------------

لو محمله اى تولبار شيليه

حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

بالتوفيق

jo0oRi · 24 يونيو 2009

اخووي الله يعافيك بس قولي انت متأكد انو مخترق والا بس تتوقع والله خايفه بجد

طيب كيف احذف البرنامج اللي قلته

وكيف ادخل عالوضع الامني

اعذرني بس ماعرفت

C0DeZeR0 · 24 يونيو 2009

حياكى الله اختى

نعم متاكد انه مخترق لانه برنامج البيفروست مش موجود من عدمه هو والباتش تبعه

فمتاكد انه مخترق ,,,

ولا يهمك

:q::q:
باالنسبه لعمليه الحذف
:i::i:

كده تم حذف القيمه المصابه ,,

k:
-------------------------

بالنسبه للسيف مود

ده لو دخلتى على المسار

c:/programmefiles

ولقيتى مجلد اسمه

bifrost

وانتى مش قولتى موجود فعلا ولالا الملف ده

بس بافتراض انه موجود ويكون افضل لانه هيكون اسهل فى الحذف

ودى طريقه دخول السيف مود

عند بدأ تشغيل الجهاز اضغط على زر

F8

ثم تظهر لك هذي الشاشة ..

اضغط على كلمة Safe Mode

بعد ذلك اضغط Enter

انتظر قليلا ً ..

ايضا انتظر قليلا ً :bleh:

سوف تظهر لك هذه النافذة .. انتظر قليلا ً :d:

اختر اي user .. ويفضل الثاني وليس الـ Administrator k:

اضغط على Yes .. وبعدها تظهر لك نافذه اخر اصغر اضغط Yes

كده انتى فى الوضع الامنى

شوف المجلد ده بقى

c:/programe files/Bifrost

موجود ولا لا لو موجود احذفيه كليه

( Bifrost )

k:

jo0oRi · 25 يونيو 2009

يعطيك ربي الف عافيه تعبتك معي بجد ماقصرت

بس ابي تتحملني شوي وتساعدني

حذفت قيمة البرنامج بنفس الطريقه اللي قلتلي عليها من الهايجاك

بس عندي الاشياء الثانيه ماظبطت

قومى بعمل فحص كامل على الجهاز

بسبب وجود قيمه برنامج البيفروست وهو برنامج اختراق ,,

قصدك اسوي فحص عادي من جدارالحمايه تبع الوندوز لأنو ماعندي غيره وانا من فتره اسوي فحص ويقولي الكمبيوتر يعمل بشكل طبيعي

-------------

قومى بحذف هذه القيمه وادخلى على البراامج التى تعمل فى بدايه التشغيل وقومى بازااله اى ملف اسمه

server.exe من بدايه التشغيل

مالقيت الملف

----------
وادخلى على هذا المسار

c:/Prgarme files

وشوفى لو لقيتى مجلد باسم دة bifrost

احذفيه فى الوضع الامنى

دخلت عالوضع الامن وفتحلي اول ماضغطت f8 على طول ماطلعتلي الخطوات الثانيه

ودخلت علي السي والبرامج بس مالقيته ( Bifrost ) مو موجود

----------

jo0oRi · 25 يونيو 2009

لو محمله اى تولبار شيليه

حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط تحميل آخر تحديث للاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

اذا وصلت هنا وضغطت 2وانتر يروح كل شي تختفي

وجربت مره ثانيه يفتحلي بعدها شوي وتختفي ويبقى معلق الجهاز

بس جربته على جهاز ثاني اكس بي وضبط عادي وطلعلي التقرير بس جهازي لاا

ماادري اذا من الفيستا والا فيه مشكله من عندي

والتولبار انا مو محمله شي بس يمكن فيه تولبار قوقل طلعلي بتقرير الهايجاك احذفه ؟
انتظر ردك :er:

فارس الملاك · 25 يونيو 2009

اختي جهازك كان مخترق

وعذرا على التاخير

(1)
عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
(2)
واعمل تقرير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم

jo0oRi · 25 يونيو 2009

مشكور اخوي ع الرد

حملته وبعد تشغيله كان يطلعلي اكثر من رسالتين وجربت مره ثانيه وطلعتلي رساله خياراتها تجاهل

واغلاق وفي كل مره يطلعلي تقرير يختلف تقريبا عن الثاني ومايسوي اعادة تشغيل للجهاز ابدآ

شغلت الجهاز من جديد وحملته مره ثانيه واشتغلت بس ماطلعلي ولاا رسااله على طول قام بالفحص

وطلع التقرير

وهذا اخر تقرير طلعلي

ComboFix 09-06-23.01 - home 06/25/2009 9:17.5 - NTFSx86
Microsoft®‎ Windows Vista™ Home Premium 6.0.6000.0.1256.966.1025.18.2037.1114 [GMT 3:00]
Running from: e:\users\home\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: ESET NOD32 Antivirus 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}
SP: Kaspersky Internet Security *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((( Files Created from 2009-05-25 to 2009-06-25 )))))))))))))))))))))))))))))))
.
2009-06-25 06:21 . 2009-06-25 06:21 -------- d-----w- e:\users\home\AppData\Local\temp
2009-06-25 06:21 . 2009-06-25 06:21 -------- d-----w- e:\users\Guest\AppData\Local\temp
2009-06-25 06:21 . 2009-06-25 06:21 -------- d-----w- e:\users\••••\AppData\Local\temp
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Roaming\Apple Computer
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Local\Apple Computer
2009-06-20 21:04 . 2009-06-20 21:04 -------- d-----w- e:\users\••••\AppData\Local\Google
2009-06-18 10:09 . 2009-06-25 05:23 -------- d-----w- e:\users\••••\Tracing
2009-06-18 10:04 . 2009-06-18 10:04 -------- d-----w- e:\users\••••\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 -------- d-----w- e:\users\Guest\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 115576 ----a-w- e:\users\Guest\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-10 08:57 . 2009-04-21 12:04 2028032 ----a-w- e:\windows\system32\win32k.sys
2009-06-10 08:51 . 2009-04-24 16:14 56320 ----a-w- e:\windows\system32\iesetup.dll
2009-06-10 08:51 . 2009-04-24 16:11 72704 ----a-w- e:\windows\system32\admparse.dll
2009-06-10 08:51 . 2009-04-24 13:53 26624 ----a-w- e:\windows\system32\ieUnatt.exe
2009-06-10 08:51 . 2009-04-24 12:25 48128 ----a-w- e:\windows\system32\mshtmler.dll
2009-06-06 13:29 . 2009-06-07 23:02 -------- d-----w- e:\programdata\Kaspersky Lab
2009-06-06 12:50 . 2009-06-06 12:50 -------- d-----w- e:\programdata\Kaspersky Lab Setup Files
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\1000000500002i\lsass.exe
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\400000dd00002i\CSPSeraser.exe
2009-06-02 10:31 . 2009-06-02 10:31 -------- d-----w- e:\users\home\AppData\Roaming\Thinstall
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 05:54 . 2009-02-20 21:25 836 ----a-w- e:\windows\bthservsdp.dat
2009-06-18 10:04 . 2009-06-18 10:04 115576 ----a-w- e:\users\••••\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-14 11:08 . 2009-02-20 23:04 -------- d-----w- e:\programdata\Microsoft Help
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\RealPlayer\Update\RealPlayer11.exe
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg5\RealPlayer11.exe
2009-05-21 04:55 . 2009-05-21 04:55 -------- d-----w- e:\program files\iVocalize Web Conference 4
2009-05-11 16:34 . 2009-05-11 16:34 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg4\RealPlayer11.exe
2009-05-02 10:41 . 2009-05-02 10:41 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg3\RealPlayer11.exe
2009-04-24 16:22 . 2009-06-10 08:52 827392 ----a-w- e:\windows\system32\wininet.dll
2009-04-24 16:14 . 2009-06-10 08:52 78336 ----a-w- e:\windows\system32\ieencode.dll
2009-04-23 13:01 . 2009-06-10 08:52 788992 ----a-w- e:\windows\system32\rpcrt4.dll
2009-04-23 12:56 . 2009-06-10 08:52 696832 ----a-w- e:\windows\system32\localspl.dll
2009-04-08 01:04 . 2009-04-08 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg2\RealPlayer11.exe
2009-03-30 06:56 . 2009-03-30 06:56 1234120 ----a-w- e:\users\home\wrar380.exe
2009-03-30 01:04 . 2009-03-30 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg1\RealPlayer11.exe
2007-02-21 19:49 . 2007-02-21 19:49 8192 --sha-w- e:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((( SnapShot@2009-06-25_05.10.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-20 20:32 . 2009-06-25 03:57 33112 e:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-02-20 20:32 . 2009-06-25 06:13 33112 e:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:05 . 2009-06-25 06:13 66864 e:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2006-11-02 13:02 . 2009-06-25 05:02 16384 e:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2006-11-02 13:02 . 2009-06-25 06:12 16384 e:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2006-11-02 13:02 . 2009-06-25 05:02 32768 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-02 13:02 . 2009-06-25 06:12 32768 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-02 13:02 . 2009-06-25 06:12 16384 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2006-11-02 13:02 . 2009-06-25 05:02 16384 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2009-02-20 20:32 . 2009-06-25 06:13 6434 e:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2971020577-2977481277-141585040-1000_UserData.bin
- 2009-02-20 20:32 . 2009-06-25 04:55 6434 e:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2971020577-2977481277-141585040-1000_UserData.bin
- 2009-06-25 03:54 . 2009-06-25 04:53 2048 e:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2009-06-25 06:11 . 2009-06-25 06:11 2048 e:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2009-06-25 03:54 . 2009-06-25 04:53 2048 e:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2009-06-25 06:11 . 2009-06-25 06:11 2048 e:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2006-11-02 10:33 . 2009-06-25 06:16 610142 e:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-06-25 04:58 610142 e:\windows\System32\perfh009.dat
- 2006-11-02 10:33 . 2009-06-25 04:58 103924 e:\windows\System32\perfc009.dat
+ 2006-11-02 10:33 . 2009-06-25 06:16 103924 e:\windows\System32\perfc009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="e:\program files\Windows Sidebar\sidebar.exe" [2009-02-20 1232896]
"MsnMsgr"="e:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Google Desktop Search"="e:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-02-20 120320]
"swg"="e:\program files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe" [2009-02-20 155896]
"ehTray.exe"="e:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"{9D71D88C-C598-4935-C5D1-43AA4DB90836}"="e:\users\home\AppData\Roaming\Bifrost\server.exe" [2009-02-20 40829]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="e:\windows\system32\igfxtray.exe" [2008-02-22 141848]
"HotKeysCmds"="e:\windows\system32\hkcmd.exe" [2008-02-22 166424]
"Persistence"="e:\windows\system32\igfxpers.exe" [2008-02-22 133656]
"Apoint"="e:\program files\DellTPad\Apoint.exe" [2007-10-11 163840]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2008-03-12 3563520]
"IAAnotif"="e:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"egui"="e:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"TkBellExe"="e:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-02-20 185896]
"GrooveMonitor"="e:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="e:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="e:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
e:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - e:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - e:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Bluetooth.lnk - e:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-8 752168]
QuickSet.lnk - e:\program files\Dell\QuickSet\quickset.exe [2008-3-3 1207376]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D5FC1C87-3751-4BF8-85B7-714890F14C08}"= TCP:6004|e:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E29CC054-ED33-4E77-9F04-744EE5446F74}"= UDP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{D81DFBF5-1190-4E48-B39E-4911AD4CC7F3}"= TCP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{05636D3B-3A29-4084-A78F-1EE430206E38}"= UDP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{5DCE61ED-5296-4F41-8148-4FB4D0D5A61F}"= TCP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{CDD16F6C-1195-4DC8-BB17-2F1AF338D10A}"= UDP:e:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{390951CB-5517-410D-862A-6E4D40C355A2}"= TCP:e:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{4AD738CB-85EC-47EB-A410-7868DAB8D556}"= UDP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{410D8FD7-E337-49C7-99D0-B85E84CC4880}"= TCP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{50E340B7-8DDE-477B-8326-751DEA21FD99}"= UDP:e:\program files\iTunes\iTunes.exe:iTunes
"{361BC643-6FE9-4C99-8318-81A1B92320BE}"= TCP:e:\program files\iTunes\iTunes.exe:iTunes
"{1973BAC2-E9C9-4057-AECD-54C74E62E460}"= UDP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{336605F0-C1B7-40B1-BFF8-84321CC0503E}"= TCP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R1 epfwtdir;epfwtdir;e:\windows\System32\drivers\epfwtdir.sys [21/12/07 08:21 33800]
R2 ekrn;Eset Service;e:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/07 08:21 468224]
R3 btwl2cap;Bluetooth L2CAP Service;e:\windows\System32\drivers\btwl2cap.sys [21/02/09 00:23 29736]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;e:\windows\System32\drivers\IntcHdmi.sys [20/02/09 18:20 111616]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;e:\windows\System32\drivers\k57nd60x.sys [29/01/08 20:08 203264]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder
2009-06-25 e:\windows\Tasks\User_Feed_Synchronization-{9BFA64F5-E97C-4D8A-9CAA-F5687F91BEC0}.job
- e:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.sa/
uInternet Settings,ProxyOverride = *.local
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-06-25 09:21
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'Explorer.exe'(4484)
e:\windows\system32\btmmhook.dll
.
Completion time: 2009-06-25 9:23
ComboFix-quarantined-files.txt 2009-06-25 06:23
ComboFix2.txt 2009-06-25 05:47
ComboFix3.txt 2009-06-25 05:40
ComboFix4.txt 2009-06-25 05:21
ComboFix5.txt 2009-06-25 06:17
Pre-Run: 81,477,632,000 bytes free
Post-Run: 81,452,204,032 bytes free
178 --- E O F --- 2009-06-22 16:47

jo0oRi · 25 يونيو 2009

تقرير الهايجاك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:33:57, on 25/06/09
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16851)
Boot mode: Normal
Running processes:
E:\Windows\system32\Dwm.exe
E:\Windows\System32\igfxtray.exe
E:\Windows\System32\hkcmd.exe
E:\Windows\System32\igfxpers.exe
E:\Program Files\DellTPad\Apoint.exe
E:\Windows\System32\WLTRAY.EXE
E:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
E:\Windows\system32\igfxsrvc.exe
E:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
E:\Program Files\Common Files\Real\Update_OB\realsched.exe
E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
E:\Program Files\iTunes\iTunesHelper.exe
E:\Program Files\Windows Sidebar\sidebar.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
E:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
E:\Windows\ehome\ehtray.exe
E:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
E:\Windows\ehome\ehmsas.exe
E:\Program Files\Dell\QuickSet\quickset.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
E:\Program Files\Google\Google Desktop Search\GoogleDesktopCrawl.exe
E:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
E:\Windows\system32\taskeng.exe
E:\Program Files\DellTPad\HidFind.exe
E:\Program Files\DellTPad\Apntex.exe
E:\Windows\helppane.exe
E:\Windows\Explorer.exe
E:\Program Files\Internet Explorer\ieuser.exe
E:\Users\home\Desktop\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - E:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] E:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] E:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] E:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] E:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [IAAnotif] "E:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [egui] "E:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [TkBellExe] "E:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] E:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "E:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ehTray.exe] E:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [{9D71D88C-C598-4935-C5D1-43AA4DB90836}] E:\Users\home\AppData\Roaming\Bifrost\server.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: QuickSet.lnk = E:\Program Files\Dell\QuickSet\quickset.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - E:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - E:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - E:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - E:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - E:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: iPod Service - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - E:\Windows\System32\WLTRYSVC.EXE
--
End of file - 6932 bytes

فارس الملاك · 25 يونيو 2009

اختي كنت اتمنى تحطين التقرير الاولي

لكن على العموم

اختي لاحظت انك مركبه برنامجين حماية

النود مع الكاسبر

اختي احذفي النوود

وبعدين عطيني تقرير هايجاك جديد

حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم

jo0oRi · 25 يونيو 2009

انا مو مشغله الكاسبر شغلته قبل فتره وحذفته بيومها والحين محمله برنامج الكاسبر عالجهاز بس مانصبته النود بس اللي شغال

وهذا اول تقرير بس كان قبل اوقف النود

ComboFix 09-06-23.01 - home 06/25/2009 8:04.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1256.966.1025.18.2037.1151 [GMT 3:00]
Running from: e:\users\home\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: ESET NOD32 Antivirus 3.0 *enabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}
SP: Kaspersky Internet Security *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Resident AV is active
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
e:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
e:\$recycle.bin\S-1-5-21-2660501754-1916501842-3502588765-1000
e:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500\desktop.ini
e:\$recycle.bin\S-1-5-21-2660501754-1916501842-3502588765-1000\desktop.ini
e:\users\home\AppData\Roaming\addons.dat
.
((((((((((((((((((((((((( Files Created from 2009-05-25 to 2009-06-25 )))))))))))))))))))))))))))))))
.
2009-06-25 05:10 . 2009-06-25 05:10 -------- d-----w- e:\users\home\AppData\Local\temp
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Roaming\Apple Computer
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Local\Apple Computer
2009-06-20 21:04 . 2009-06-20 21:04 -------- d-----w- e:\users\••••\AppData\Local\Google
2009-06-18 10:09 . 2009-06-25 02:11 -------- d-----w- e:\users\••••\Tracing
2009-06-18 10:04 . 2009-06-18 10:04 -------- d-----w- e:\users\••••\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 -------- d-----w- e:\users\Guest\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 115576 ----a-w- e:\users\Guest\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-10 08:57 . 2009-04-21 12:04 2028032 ----a-w- e:\windows\system32\win32k.sys
2009-06-10 08:51 . 2009-04-24 16:14 56320 ----a-w- e:\windows\system32\iesetup.dll
2009-06-10 08:51 . 2009-04-24 16:11 72704 ----a-w- e:\windows\system32\admparse.dll
2009-06-10 08:51 . 2009-04-24 13:53 26624 ----a-w- e:\windows\system32\ieUnatt.exe
2009-06-10 08:51 . 2009-04-24 12:25 48128 ----a-w- e:\windows\system32\mshtmler.dll
2009-06-06 13:29 . 2009-06-07 23:02 -------- d-----w- e:\programdata\Kaspersky Lab
2009-06-06 12:50 . 2009-06-06 12:50 -------- d-----w- e:\programdata\Kaspersky Lab Setup Files
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\1000000500002i\lsass.exe
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\400000dd00002i\CSPSeraser.exe
2009-06-02 10:31 . 2009-06-02 10:31 -------- d-----w- e:\users\home\AppData\Roaming\Thinstall
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 03:40 . 2009-02-20 21:25 12 ----a-w- e:\windows\bthservsdp.dat
2009-06-18 10:04 . 2009-06-18 10:04 115576 ----a-w- e:\users\••••\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-14 11:08 . 2009-02-20 23:04 -------- d-----w- e:\programdata\Microsoft Help
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\RealPlayer\Update\RealPlayer11.exe
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg5\RealPlayer11.exe
2009-05-21 04:55 . 2009-05-21 04:55 -------- d-----w- e:\program files\iVocalize Web Conference 4
2009-05-11 16:34 . 2009-05-11 16:34 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg4\RealPlayer11.exe
2009-05-02 10:41 . 2009-05-02 10:41 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg3\RealPlayer11.exe
2009-04-24 16:22 . 2009-06-10 08:52 827392 ----a-w- e:\windows\system32\wininet.dll
2009-04-24 16:14 . 2009-06-10 08:52 78336 ----a-w- e:\windows\system32\ieencode.dll
2009-04-23 13:01 . 2009-06-10 08:52 788992 ----a-w- e:\windows\system32\rpcrt4.dll
2009-04-23 12:56 . 2009-06-10 08:52 696832 ----a-w- e:\windows\system32\localspl.dll
2009-04-08 01:04 . 2009-04-08 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg2\RealPlayer11.exe
2009-03-30 06:56 . 2009-03-30 06:56 1234120 ----a-w- e:\users\home\wrar380.exe
2009-03-30 01:04 . 2009-03-30 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg1\RealPlayer11.exe
2007-02-21 19:49 . 2007-02-21 19:49 8192 --sha-w- e:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="e:\program files\Windows Sidebar\sidebar.exe" [2009-02-20 1232896]
"MsnMsgr"="e:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Google Desktop Search"="e:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-02-20 120320]
"swg"="e:\program files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe" [2009-02-20 155896]
"ehTray.exe"="e:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"{9D71D88C-C598-4935-C5D1-43AA4DB90836}"="e:\users\home\AppData\Roaming\Bifrost\server.exe" [2009-02-20 40829]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="e:\windows\system32\igfxtray.exe" [2008-02-22 141848]
"HotKeysCmds"="e:\windows\system32\hkcmd.exe" [2008-02-22 166424]
"Persistence"="e:\windows\system32\igfxpers.exe" [2008-02-22 133656]
"Apoint"="e:\program files\DellTPad\Apoint.exe" [2007-10-11 163840]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2008-03-12 3563520]
"IAAnotif"="e:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"egui"="e:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"TkBellExe"="e:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-02-20 185896]
"GrooveMonitor"="e:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="e:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="e:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
e:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - e:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - e:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Bluetooth.lnk - e:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-8 752168]
QuickSet.lnk - e:\program files\Dell\QuickSet\quickset.exe [2008-3-3 1207376]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D5FC1C87-3751-4BF8-85B7-714890F14C08}"= TCP:6004|e:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E29CC054-ED33-4E77-9F04-744EE5446F74}"= UDP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{D81DFBF5-1190-4E48-B39E-4911AD4CC7F3}"= TCP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{05636D3B-3A29-4084-A78F-1EE430206E38}"= UDP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{5DCE61ED-5296-4F41-8148-4FB4D0D5A61F}"= TCP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{CDD16F6C-1195-4DC8-BB17-2F1AF338D10A}"= UDP:e:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{390951CB-5517-410D-862A-6E4D40C355A2}"= TCP:e:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{4AD738CB-85EC-47EB-A410-7868DAB8D556}"= UDP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{410D8FD7-E337-49C7-99D0-B85E84CC4880}"= TCP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{50E340B7-8DDE-477B-8326-751DEA21FD99}"= UDP:e:\program files\iTunes\iTunes.exe:iTunes
"{361BC643-6FE9-4C99-8318-81A1B92320BE}"= TCP:e:\program files\iTunes\iTunes.exe:iTunes
"{1973BAC2-E9C9-4057-AECD-54C74E62E460}"= UDP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{336605F0-C1B7-40B1-BFF8-84321CC0503E}"= TCP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R1 epfwtdir;epfwtdir;e:\windows\System32\drivers\epfwtdir.sys [21/12/07 08:21 33800]
R2 ekrn;Eset Service;e:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/07 08:21 468224]
R3 btwl2cap;Bluetooth L2CAP Service;e:\windows\System32\drivers\btwl2cap.sys [21/02/09 00:23 29736]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;e:\windows\System32\drivers\IntcHdmi.sys [20/02/09 18:20 111616]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;e:\windows\System32\drivers\k57nd60x.sys [29/01/08 20:08 203264]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder
2009-06-25 e:\windows\Tasks\User_Feed_Synchronization-{9BFA64F5-E97C-4D8A-9CAA-F5687F91BEC0}.job
- e:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.sa/
uInternet Settings,ProxyOverride = *.local
LSP: e:\program files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-06-25 08:10
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Completion time: 2009-06-25 8:12
ComboFix-quarantined-files.txt 2009-06-25 05:12
Pre-Run: 81,437,052,928 bytes free
Post-Run: 81,451,589,632 bytes free
156 --- E O F --- 2009-06-22 16:47

وهذا اتوقع بعد ماوقفته

ComboFix 09-06-23.01 - home 06/25/2009 8:41.4 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1256.966.1025.18.2037.923 [GMT 3:00]
Running from: e:\users\home\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: ESET NOD32 Antivirus 3.0 *disabled* (Updated) {E5E70D32-0101-4B98-A4D6-D1D15C3BB448}
SP: Kaspersky Internet Security *disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((( Files Created from 2009-05-25 to 2009-06-25 )))))))))))))))))))))))))))))))
.
2009-06-25 05:45 . 2009-06-25 05:45 -------- d-----w- e:\users\home\AppData\Local\temp
2009-06-25 05:45 . 2009-06-25 05:45 -------- d-----w- e:\users\Guest\AppData\Local\temp
2009-06-25 05:45 . 2009-06-25 05:45 -------- d-----w- e:\users\••••\AppData\Local\temp
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Roaming\Apple Computer
2009-06-23 23:00 . 2009-06-23 23:00 -------- d-----w- e:\users\Guest\AppData\Local\Apple Computer
2009-06-20 21:04 . 2009-06-20 21:04 -------- d-----w- e:\users\••••\AppData\Local\Google
2009-06-18 10:09 . 2009-06-25 05:23 -------- d-----w- e:\users\••••\Tracing
2009-06-18 10:04 . 2009-06-18 10:04 -------- d-----w- e:\users\••••\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 -------- d-----w- e:\users\Guest\Bluetooth Software
2009-06-18 09:42 . 2009-06-18 09:42 115576 ----a-w- e:\users\Guest\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-10 08:57 . 2009-04-21 12:04 2028032 ----a-w- e:\windows\system32\win32k.sys
2009-06-10 08:51 . 2009-04-24 16:14 56320 ----a-w- e:\windows\system32\iesetup.dll
2009-06-10 08:51 . 2009-04-24 16:11 72704 ----a-w- e:\windows\system32\admparse.dll
2009-06-10 08:51 . 2009-04-24 13:53 26624 ----a-w- e:\windows\system32\ieUnatt.exe
2009-06-10 08:51 . 2009-04-24 12:25 48128 ----a-w- e:\windows\system32\mshtmler.dll
2009-06-06 13:29 . 2009-06-07 23:02 -------- d-----w- e:\programdata\Kaspersky Lab
2009-06-06 12:50 . 2009-06-06 12:50 -------- d-----w- e:\programdata\Kaspersky Lab Setup Files
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\1000000500002i\lsass.exe
2009-06-05 04:00 . 2009-06-05 04:00 7168 ----a-w- e:\users\home\AppData\Roaming\Thinstall\CyberScrub® Privacy Suite™ 5.1\400000dd00002i\CSPSeraser.exe
2009-06-02 10:31 . 2009-06-02 10:31 -------- d-----w- e:\users\home\AppData\Roaming\Thinstall
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-25 03:40 . 2009-02-20 21:25 12 ----a-w- e:\windows\bthservsdp.dat
2009-06-18 10:04 . 2009-06-18 10:04 115576 ----a-w- e:\users\••••\AppData\Local\GDIPFONTCACHEV1.DAT
2009-06-14 11:08 . 2009-02-20 23:04 -------- d-----w- e:\programdata\Microsoft Help
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\RealPlayer\Update\RealPlayer11.exe
2009-05-24 22:45 . 2009-05-24 22:45 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg5\RealPlayer11.exe
2009-05-21 04:55 . 2009-05-21 04:55 -------- d-----w- e:\program files\iVocalize Web Conference 4
2009-05-11 16:34 . 2009-05-11 16:34 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg4\RealPlayer11.exe
2009-05-02 10:41 . 2009-05-02 10:41 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg3\RealPlayer11.exe
2009-04-24 16:22 . 2009-06-10 08:52 827392 ----a-w- e:\windows\system32\wininet.dll
2009-04-24 16:14 . 2009-06-10 08:52 78336 ----a-w- e:\windows\system32\ieencode.dll
2009-04-23 13:01 . 2009-06-10 08:52 788992 ----a-w- e:\windows\system32\rpcrt4.dll
2009-04-23 12:56 . 2009-06-10 08:52 696832 ----a-w- e:\windows\system32\localspl.dll
2009-04-08 01:04 . 2009-04-08 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg2\RealPlayer11.exe
2009-03-30 06:56 . 2009-03-30 06:56 1234120 ----a-w- e:\users\home\wrar380.exe
2009-03-30 01:04 . 2009-03-30 01:04 390664 ----a-w- e:\users\home\AppData\Roaming\Real\Update\temp\~Upg1\RealPlayer11.exe
2007-02-21 19:49 . 2007-02-21 19:49 8192 --sha-w- e:\windows\Users\Default\NTUSER.DAT
.
((((((((((((((((((((((((((((( SnapShot@2009-06-25_05.10.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-11-02 13:02 . 2009-06-25 05:02 16384 e:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2006-11-02 13:02 . 2009-06-25 05:31 16384 e:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2006-11-02 13:02 . 2009-06-25 05:31 32768 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2006-11-02 13:02 . 2009-06-25 05:02 32768 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-02 13:02 . 2009-06-25 05:31 16384 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2006-11-02 13:02 . 2009-06-25 05:02 16384 e:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="e:\program files\Windows Sidebar\sidebar.exe" [2009-02-20 1232896]
"MsnMsgr"="e:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"Google Desktop Search"="e:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-02-20 120320]
"swg"="e:\program files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe" [2009-02-20 155896]
"ehTray.exe"="e:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"{9D71D88C-C598-4935-C5D1-43AA4DB90836}"="e:\users\home\AppData\Roaming\Bifrost\server.exe" [2009-02-20 40829]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="e:\windows\system32\igfxtray.exe" [2008-02-22 141848]
"HotKeysCmds"="e:\windows\system32\hkcmd.exe" [2008-02-22 166424]
"Persistence"="e:\windows\system32\igfxpers.exe" [2008-02-22 133656]
"Apoint"="e:\program files\DellTPad\Apoint.exe" [2007-10-11 163840]
"Broadcom Wireless Manager UI"="e:\windows\system32\WLTRAY.exe" [2008-03-12 3563520]
"IAAnotif"="e:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"egui"="e:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"TkBellExe"="e:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-02-20 185896]
"GrooveMonitor"="e:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"QuickTime Task"="e:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="e:\program files\iTunes\iTunesHelper.exe" [2009-01-06 290088]
e:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - e:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - e:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Bluetooth.lnk - e:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-2-8 752168]
QuickSet.lnk - e:\program files\Dell\QuickSet\quickset.exe [2008-3-3 1207376]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D5FC1C87-3751-4BF8-85B7-714890F14C08}"= TCP:6004|e:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{E29CC054-ED33-4E77-9F04-744EE5446F74}"= UDP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{D81DFBF5-1190-4E48-B39E-4911AD4CC7F3}"= TCP:e:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{05636D3B-3A29-4084-A78F-1EE430206E38}"= UDP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{5DCE61ED-5296-4F41-8148-4FB4D0D5A61F}"= TCP:e:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{CDD16F6C-1195-4DC8-BB17-2F1AF338D10A}"= UDP:e:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)
"{390951CB-5517-410D-862A-6E4D40C355A2}"= TCP:e:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)
"{4AD738CB-85EC-47EB-A410-7868DAB8D556}"= UDP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{410D8FD7-E337-49C7-99D0-B85E84CC4880}"= TCP:e:\program files\Bonjour\mDNSResponder.exe:Bonjour
"{50E340B7-8DDE-477B-8326-751DEA21FD99}"= UDP:e:\program files\iTunes\iTunes.exe:iTunes
"{361BC643-6FE9-4C99-8318-81A1B92320BE}"= TCP:e:\program files\iTunes\iTunes.exe:iTunes
"{1973BAC2-E9C9-4057-AECD-54C74E62E460}"= UDP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{336605F0-C1B7-40B1-BFF8-84321CC0503E}"= TCP:e:\program files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|
R1 epfwtdir;epfwtdir;e:\windows\System32\drivers\epfwtdir.sys [21/12/07 08:21 33800]
R2 ekrn;Eset Service;e:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/07 08:21 468224]
R3 btwl2cap;Bluetooth L2CAP Service;e:\windows\System32\drivers\btwl2cap.sys [21/02/09 00:23 29736]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;e:\windows\System32\drivers\IntcHdmi.sys [20/02/09 18:20 111616]
R3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;e:\windows\System32\drivers\k57nd60x.sys [29/01/08 20:08 203264]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder
2009-06-25 e:\windows\Tasks\User_Feed_Synchronization-{9BFA64F5-E97C-4D8A-9CAA-F5687F91BEC0}.job
- e:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.sa/
uInternet Settings,ProxyOverride = *.local
LSP: e:\program files\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-06-25 08:45
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'Explorer.exe'(5508)
e:\windows\system32\btmmhook.dll
.
Completion time: 2009-06-25 8:47
ComboFix-quarantined-files.txt 2009-06-25 05:47
ComboFix2.txt 2009-06-25 05:40
ComboFix3.txt 2009-06-25 05:21
ComboFix4.txt 2009-06-25 05:12
Pre-Run: 81,449,701,376 bytes free
Post-Run: 81,422,438,400 bytes free
165 --- E O F --- 2009-06-22 16:47

طيب الحين قبل اسوي تقرير الهايجاك اوقف النود والا احذفه

زيزوومي جديد

زيزوومي جديد

زيزوومى محترف

توقيع : فارس الملاك

زيزوومى محترف

توقيع : فارس الملاك

زيزوومى محترف

توقيع : فارس الملاك

زيزوومي جديد

زيزوومي جديد

لا إله إلا الله

توقيع : protection

زيزوومي جديد

لا إله إلا الله

توقيع : protection

زيزوومى متألق

توقيع : C0DeZeR0

زيزوومي جديد

زيزوومى متألق

توقيع : C0DeZeR0

زيزوومي جديد

زيزوومي جديد

زيزوومى محترف

توقيع : فارس الملاك

زيزوومي جديد

زيزوومي جديد

زيزوومى محترف

توقيع : فارس الملاك

زيزوومي جديد