عدة مشاكلregedit و أدارة مهام يفتح ثانيا ملفات نظام تم مسحها بعد أصابتها بفايروس الدودة من أفيرا مش

سفير الدموع

سفير الدموع

زيزوومى مبدع
إنضم
24 يونيو 2009
المشاركات
1,663
مستوى التفاعل
33
النقاط
680
الإقامة
فلسطين
غير متصل
أولا بدأ مع الأفيرا الي قام بمسح ملفات النظام بعد أصابتها بفايروس الدودة win saltiy aa و قمت بأسترجاع بعد الملفات صورة للملفات و لكن بنصحة بفرومات هل في حل أخر

98510344.jpg


و الأن نأتي على regedit و أدارة المهام الأثنين ما يفتوحوا و يطلع نفس الشاشة بس تتخير الكلمة الأولى


i23032_898.jpg



و الأن مع الزووم fire fox


787f.jpg



و الأن تقرير هاي جايك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:48, on 15/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Abadisoft\Avc 4.0\AbadisoftCleanVirus.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\MSN\Mozilla Firefox\firefox.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\xnxwy.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\winokxvu.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\w675a0.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\winiwmxl.exe
D:\avast\ashQuick.exe
D:\avast\ashQuick.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\windkcer.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\winscjcn.exe
D:\البرامج 2\koko_monde\New Folder (2)\Zyzoom.org_Tool_V_1.0.exe
D:\البرامج 2\koko_monde\New Folder (2)\FaRiS\runscanner.exe
C:\DOCUME~1\ADMINI~1.000\LOCALS~1\Temp\zyaoom Tool\Hijack.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [viruscleaner] "C:\Program Files\Abadisoft\Avc 4.0\AbadisoftCleanVirus.exe" h
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4170 bytes

 

ترتيب حسب التاريخ ترتيب حسب الأصوات
هذا تقرير من برنامج حماية معروف

Malwarebytes' Anti-Malware 1.39
نسخة قاعدة البيانات: 2421
Windows 5.1.2600 Service Pack 2

15/07/2009 12:49:36 PM
mbam-log-2009-07-15 (12-49-36).txt

نوع البحث: بحث سريع
تم فحص: 86366
الوقت المنقضى: 7 minute(s), 43 second(s)

عمليات الذاكرة المصابة: 2
وحدات الذاكرة المصابة: 0
مفاتيح التسجيل المصابة: 2
قيم التسجيل المصابة: 0
بيانات التسجيل المصابة: 3
مجلدات مصابة: 8
ملفات مصابة: 17

عمليات الذاكرة المصابة:
C:\Documents and Settings\Administrator.PCV.000\Local Settings\temp\winnkaxj.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\Documents and Settings\Administrator.PCV.000\Local Settings\temp\adnit.exe (Password.Stealer) -> Unloaded process successfully.

وحدات الذاكرة المصابة:
(لم يتم الكشف عن أية عناصر ضارة)

مفاتيح التسجيل المصابة:
HKEY_CLASSES_ROOT\CLSID\{df1c8e21-4045-4d67-b528-335f1a4f0de9} (Adware.Navipromo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\egdhtml (Adware.EGDAccess) -> Quarantined and deleted successfully.

قيم التسجيل المصابة:
(لم يتم الكشف عن أية عناصر ضارة)

بيانات التسجيل المصابة:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

مجلدات مصابة:
C:\Program Files\Instant Access (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Center (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\DesktopIcons (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700 (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\Common (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\js (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias (Adware.EGDAccess) -> Quarantined and deleted successfully.

ملفات مصابة:
C:\Documents and Settings\Administrator.PCV.000\Local Settings\temp\winnkaxj.exe (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\Administrator.PCV.000\Local Settings\temp\adnit.exe (Password.Stealer) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\nsinet.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1960408961-115176313-839522115-500\Dc11.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
c:\program files\instant access\Center\NoCreditCard.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\desktopicons\NoCreditCard.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\dialerexe.ini (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\instant access.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\Common\module.php (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\js\js_api_dialer.php (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias\button1.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias\button2.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias\button3.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias\button4.gif (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\program files\instant access\Multi\20090713230700\medias\dialer.ico (Adware.EGDAccess) -> Quarantined and deleted successfully.
c:\documents and settings\administrator.pcv.000\start menu\NoCreditCard.lnk (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\dialerexe.ini (Adware.EGDAccess) -> Quarantined and deleted successfully.

 
تأييد 0
عزيزي عندك دودة السالتي
واذا تحب تحذفها طبق التالي بدقة

عطل استعادة النظام حسب الشرح التالي

i7549_1.png


i7550_2.png


i7551_3.png


واترك الاستعادة معطلة حتى الانتهاء
ثم

حمل الادوات التالية من جهاز سليم وانقلها للجهاز المصاب لتطبيق شرحها

ادخل هذه الصفحة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وحمل اداة المكافي
شغلها بدبل كلك واتركها حتى تنتهي صفحة الدوس من الفحص والتنظيف
ثم توجه الى القرص c ،، وقم
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
التقرير noor_mcafee
وارفعه على هذا الموقع
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وارفق رابط التحميل بمشاركتك القادمة
ثم

نزل هذه الأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



فك الضغط عنها وشغلها بدبل كلك


i17409_1.png



i17412_2.png
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى