عندى ملف تجسس فى جهازى

[زووم2007]

انا واخد الى ان فى حد بيتصنت على مكالمتى على الايميلات وبيقرا الكلام الل بكتبه لصحابى
وفحصت ببرنامج اسمه NoAdware5 ولقيته بيظهرلى كلمة ملف خطير وجمبها اسم برنامج التجسس
netobserve ومكانه ف الc ف الويندوز وكل ما انزل نسخة ويندوز جديده الاقيه موجود معاها ف الc​

ممكن اعرف الحل ايه؟؟؟؟؟؟؟​

وده تقرير عملته ببرنامج المكافى عن طريق الدوس​

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\XPPRESP3>cd\

C:\>cd mcafee

C:\mcafee>scan /ad /clean /del
McAfee VirusScan for Win32 v5.30.0
Copyright (c) 1992-2008 McAfee, Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Jun 16 2008

Scan engine v5.3.00 for Win32.
Virus data file v5661 created Jun 29 2009
Scanning for 532219 viruses, trojans and variants.

Scanning C: []
Scanning C:\*.*
C:\PAGEFILE.SYS ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY ... file could not be opened.
C:\WINDOWS\system32\config\SECURITY.LOG ... file could not be opened.
C:\WINDOWS\system32\config\SOFTWARE.LOG ... file could not be opened.
C:\WINDOWS\system32\config\SYSTEM.LOG ... file could not be opened.
C:\WINDOWS\system32\config\DEFAULT.LOG ... file could not be opened.
C:\WINDOWS\system32\config\SAM ... file could not be opened.
C:\WINDOWS\system32\config\SAM.LOG ... file could not be opened.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\_avast4_\Webshlock.
txt ... file could not be opened.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_66
0.dat ... file could not be opened.
C:\WINDOWS\system32\config\system ... file could not be opened.
C:\WINDOWS\system32\config\software ... file could not be opened.
C:\WINDOWS\system32\config\default ... file could not be opened.
C:\WINDOWS\SoftwareDistribution\EventCache\{0951B998-1425-462D-90EC-359CDD7F6A33
}.bin ... file could not be opened.
C:\Documents and Settings\NetworkService\NTUSER.DAT ... file could not be opened
.
C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG ... file could not be op
ened.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microso
ft\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microso
ft\Windows\UsrClass.dat.LOG ... file could not be opened.
C:\Documents and Settings\LocalService\NTUSER.DAT ... file could not be opened.

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG ... file could not be open
ed.
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
\Windows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft
\Windows\UsrClass.dat.LOG ... file could not be opened.
C:\Documents and Settings\XPPRESP3\NTUSER.DAT ... file could not be opened.
C:\Documents and Settings\XPPRESP3\NTUSER.DAT.LOG ... file could not be opened.

C:\Documents and Settings\XPPRESP3\Local Settings\Temp\etilqs_8CbRxesbCoOGVTHyec
0z ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Local Settings\Temporary Internet Files\Conte
nt.IE5\KRYDGB8H\5nC0FOfGwrI[1].js\5nC0FOfGwrI[1] ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Local Settings\Application Data\Microsoft\Win
dows\UsrClass.dat ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Local Settings\Application Data\Microsoft\Win
dows\UsrClass.dat.LOG ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Application Data\Mozilla\Firefox\Profiles\ur0
2ksll.default\parent.lock ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Application Data\Mozilla\Firefox\Profiles\ur0
2ksll.default\cookies.sqlite-journal ... file could not be opened.
C:\Documents and Settings\XPPRESP3\Application Data\Mozilla\Firefox\Profiles\ur0
2ksll.default\places.sqlite-journal ... file could not be opened.
C:\Program Files\Real_SC\opt.exe ... Found the W32/Sdbot.worm virus !!!
The file has been deleted.
C:\Program Files\NoAdware5.0\nutils.dll ... Found the BackDoor-AWQ trojan !!!
The file has been deleted.
C:\System Volume Information\_restore{C8306024-1ECB-4FE5-84D6-672AB1B4EE1B}\RP4\
A0002563.exe ... Found the W32/Sdbot.worm virus !!!
The file has been deleted.
C:\Persi0.sys ... file could not be opened.

Summary report on C:\*.*
File(s)
Total files: ........... 13924
Clean: ................. 13889
Not scanned: ........... 0
Possibly Infected: ..... 3
Cleaned: ............... 0
Deleted: ............... 3
Non-critical Error(s): 1
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning D: [ع?غµ?]
Scanning D:\*.*

Summary report on D:\*.*
File(s)
Total files: ........... 2141
Clean: ................. 2141
Not scanned: ........... 0
Possibly Infected: ..... 0
Cleaned: ............... 0
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning E: [?ط???]
Scanning E:\*.*
E:\New Folder (3)\??و?\???ع?\avast! Antivirus Professional Edition 4.8.1229\keyg
en\AvastKeygen.exe ... Found the Generic.dx trojan !!!
The file has been deleted.
E:\New Folder (3)\New\?µ?ف ع??µ?\ع?غµ?\?طµ\Desktop_.ini ... Found the W32/Fujack
s.remnants virus !!!
The file has been deleted.

Summary report on E:\*.*
File(s)
Total files: ........... 34510
Clean: ................. 34508
Not scanned: ........... 0
Possibly Infected: ..... 2
Cleaned: ............... 0
Deleted: ............... 2
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0
Scanning F: [???غه]
Scanning F:\*.*

Summary report on F:\*.*
File(s)
Total files: ........... 16203
Clean: ................. 16203
Not scanned: ........... 0
Possibly Infected: ..... 0
Cleaned: ............... 0
Master Boot Record(s): ......... 1
Possibly Infected: ..... 0
Boot Sector(s): ................ 1
Possibly Infected: ..... 0


Time: 00:37.08


C:\mcafee>​

 

[ناصر الاسلام]

حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغل البرنامج ==> واضغط على
Do a system scan and save log
لحظات .. ويظهر لك تقرير داخل المفكرة==> انسخه والصقه بردك القادم

 

[C0DeZeR0]

السلام عليكم

اعمل تقرير للهايجاك​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log​

لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​

​

 

[أعتز بك]

حمل هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغل البرنامج ==> واضغط على
Do a system scan and save log
لحظات .. ويظهر لك تقرير داخل المفكرة==> انسخه والصقه بردك القادم

k:k:

السلام عليكم​

اعمل تقرير للهايجاك​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log​

لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​

وعليكم السلام

أخي أعتقد ان الرد الأول نفس ردك

فما الجديد

:king:

 

[C0DeZeR0]

انا فتحت الصفحه بس ,,,

قبل ما الاخ " جناح مهيض " يحط الرد ,,

وعلى ما حطيت الرد ,, لقيت الرد الاول ,,

حصل خير تقدر تحذفه ....
​

 

[زووم2007]

شكرا ليكم على اهتمامكم

دى صورة الفحص ببرنامج NoAdware اللى فيها اسم برنامج التجسس netobserve

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ودى صورة مكان الملف فى ال سى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ودة تقرير للهايجاك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:15:01 PM, on 6/30/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Mozilla Firefox 3.1 Beta 3\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\XPPRESP3\Desktop\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\NoAdware5.0\NoAdware5.exe
C:\Documents and Settings\XPPRESP3\My Documents\التّنزيلات\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)

--
End of file - 6048 bytes

 

[v.i.p]

شوف ادخل موضوعي هنا وان شاء الله يفيدك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[زووم2007]

طب والبرنامج netobserve اعمل اية فيه لية موجود فى السى ولما انزل ويندوز جديد بيفضل موجود

انزل ويندوز ولا افرمت ارجو الرد
​

 

[زيزوووم]

لا ترفع موضوعك حتى مرور 6 ساعات
يجيك احد المشرفين ويقفله عليك

عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes​

انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم​

--------------------------------------------​

 

[C0DeZeR0]

اولا اخى ونصيحه حتى لا يغلق موضوعك ,’,,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

6- يمنع رفع الموضوع قبل مضي 6 ساعات على اخر مشاركة
------------------------------------------------------------------------
اخى عندك قيم ضاره قبل طلب عمليه حذف اى قيمه الافضل ان تقوم بالاتى

حمل اداه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

وهات تقرير هايجاك جديد بعد عمليه الفحص ,,,

​

 

[samirzehani]

لا أظن أنه ملف تجسس لأنه عندي أيضا أنت قم بتنزيل أداة الكاسبر واعمل بها سكان وشوفk:

 

[زووم2007]

هذى التقرير بتاعت الهاجيك و combofix وKasper Virus Removal Tool

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[C0DeZeR0]

عندى مشكله فى التحميل يا ريت لو تنسخ التقارير هنا فى الرد ,,,

او تعيد تسميه ملف الرار وترفعهم على الرابيدشير
,,,
​

 

[زووم2007]

اتفضل

رفعتو على رابيدشير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[زيزوووم]

عند الفحص
هل عطلت الديب فريز ؟؟

 

[زووم2007]

نعم كنت معطلة

 

[زيزوووم]

يعطيك العافيه

وعذرا على التأخير

حمل الاداة التالية واتبع الشرح لعمل تقرير ورفعه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اعمل كما الصورة لبدء الفحص

ثم اعمل التالي لحفظ ملف التقرير

بعد حفظه قم بضغط الملف >>>

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وارفع الملف هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[زووم2007]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[Tech.world]

احذف هذه القيم من التقرير حق الاداه Hijack
1- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
---------------
2- O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
----------------
3 O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5 c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68, 00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00 ,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,7 0,00,00,00 (file missing)
------------------

 

[زيزوووم]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

:b::b:

عذرا على التأخير


والتقرير سليم ......


والملف الذي يكتشفه برنامج الحمايه لديك
تعتبر اصابه كاذبه