عاوز حل من فضلكم

[ZX00Mozilla00]

بسم الله الرحمن الرحيم

السلام عليكم ورحمه الله .. عندى أستفسار من فضلكم بخصوص الموضوع ده من

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.

المشكلة بقى إن الفيرس ده جالى بالفعل ومش ليا لوحدى .. ده للشبكة كلها .. وعند مسح ملف الهوست بيرجع تانى .. حتى عند أستبدالة بالملف الأصلى برضو بيرجع تانى الملف المتفيرس .. والملف ملوش أى ضرر على ملفات الجهاز أو الويندوز .. بس مشكلتة أنه بيوقفلى النت بس .. وكمان الجهاز بيقعد يعمل Sent وى Received من غير مكون شغال على النت .. وأدى ملف الهوست المتفيرس للتحميل من

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.. كما أن هناك ملف أخر بينزل فى هذا المكان C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\ بأسم z4.zip والملف بينزل من السيرفر ده

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

مع أنى مش بدخل علية .. ياريت حل ياجماعة للمشكلة .. وشكراً.

​

 

[mekadoo]

اعمل تقرير هايجاك

 

[ZX00Mozilla00]

تم تصطيب أكتر من مرة نسخة ويندوز .. لكن بيرجع تانى بمجرد أستخدام النت حتى بعد تصطيب Avira AntiVir Security Suite .. وبعد عدة تجارب .. تم تصطيب النسخة الفري من الأفيرا .. وتم فتح فايرول الويندوز + تحديد هذا الخيار Don't allow exceptions .. وحتى الأن لن يأتى لجهازى .. وده هايجاك للجهاز السليم حالياً .. وهيتم رفع بيانات جهاز أخر مصاب بعد قليل.
​

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:56:56 م, on 26/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Lock My PC 4\lockpc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\CTFMON.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\SiCoDriVeT\vsdrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الفيديو بواسطة Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: تحميل الكل بواسطة Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: تحميل المحددة بواسطة Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: تحميل بواسطة Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B2C9D43-22ED-43B7-B19A-71D132C3E097}: NameServer = 163.121.128.134,163.121.128.135
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DD63297-18B8-48B2-A61F-118373F1C95D}: NameServer = 163.121.128.134,163.121.128.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B2C9D43-22ED-43B7-B19A-71D132C3E097}: NameServer = 163.121.128.134,163.121.128.135
O17 - HKLM\System\CS2\Services\Tcpip\..\{3B2C9D43-22ED-43B7-B19A-71D132C3E097}: NameServer = 163.121.128.134,163.121.128.135
O20 - Winlogon Notify: fsp_lmwl - C:\WINDOWS\SYSTEM32\fsp_lmwl.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4363 bytes

​

 

[ZX00Mozilla00]

تقرير من جهاز مصاب

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:41:46 م, on 26/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Lock My PC 4\lockpc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\SiCoDriVeT\vsdrv.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Free Download Manager تحميل الفيديو بواسطة - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: تحميل المحددة بفري داونلود مانيجر - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: تنزيل الكل بفري داونلود مانيجر - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: تنزيل بفري داونلود مانيجر - file://C:\Program Files\Free Download Manager\dllink.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{2B7E6F02-80F8-43E0-AE38-D3D0A24CB248}: NameServer = 163.121.128.134,163.121.128.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B7E6F02-80F8-43E0-AE38-D3D0A24CB248}: NameServer = 163.121.128.134,163.121.128.135
O17 - HKLM\System\CS2\Services\Tcpip\..\{2B7E6F02-80F8-43E0-AE38-D3D0A24CB248}: NameServer = 163.121.128.134,163.121.128.135
O20 - Winlogon Notify: fsp_lmwl - C:\WINDOWS\SYSTEM32\fsp_lmwl.dll
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WMI Client SR (WMISRSC) - WMI Data Integrity - C:\WINDOWS\system32\wbem\wmisrsc.exe

--
End of file - 5080 bytes

​

 

[format]

عموما ياخوي هذا مش مكانه المناسب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم بعدها ..

حمل هذا البرنامج ​

​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثبته على الجهاز ،، ثم شغله واعمل كما الشرح التالي لفحص الجهاز وعمل تقرير[/FONT]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

انسخ ما بداخل التقرير والصقه بمشاركتك القادمة[/FONT]​

[/FONT]

 

[برق العاصفة]

أخوي يمكن لأنك مفعل خاصية استعادة النظام (ويندوز ريستور)

حاول تعطل استعادة النظام وامسح الفايروس وان شاء الله ما يرجع ..
​

 

[ZX00Mozilla00]

Malwarebytes' Anti-Malware 1.29
Database version: 1276
Windows 5.1.2600 Service Pack 2

27/09/2009 10:04:35 ص
mbam-log-2009-09-27 (10-04-35).txt

Scan type: Full Scan (C:\|D:\|E:\|F:\|G:\|)
Objects scanned: 105631
Time elapsed: 48 minute(s), 26 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

​

 

[ZX00Mozilla00]

ياجماعة الظاهر إن مفيش فايدة ولا ايه مش عارف والله .. ده حتى بعد تصطيب ويندوز جديد بيرجع تانى بمجرد ان جهازى يظهر على الشبكة .. ودى أسماء الفيروسات واماكنها يمكن حد يوصل لحل .. وشكراً لكل اللى ردو.

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9L8A8F5Z\z4[1].zip.
Action performed: Move file to quarantine

Virus or unwanted program 'TR/AntiHosts.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\drivers\etc\hosts.
Action performed: Delete file

Virus or unwanted program 'WORM/IrcBot.11656.3 [worm]'
detected in file 'C:\WINDOWS\system32\drivers\minisv32.sys.
Action performed: Delete file

Virus or unwanted program 'BDS/Agent.akyr [backdoor]'
detected in file 'C:\mscom.exe.
Action performed: Delete file

Virus or unwanted program 'BDS/Agent.akyr [backdoor]'
detected in file 'C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNEPZY4P\index-csphp1[1].txt.
Action performed: Delete file
​

 

[mekadoo]

التقارير كلها نظيفة

 

[ZX00Mozilla00]

ماهو المشكلة إن التقارير نظيفة مع إن فى فيرس بالفعل وبوقفلى النت أكن حد عامل نت كت عليك ولازم اعمل تحديث للصفحة عدة مرات علشان تفتح , وملف الهوست ده بيتفيرس كل ماينزل على طول مفيش ثوانى وبوص حضرتك فى الصورة هتلاقى فى اقل من دقيقة بيزل الفيرس ويتمسح اكتر من 10 مرات.

 

[mekadoo]

ممكن توضع لى مسار هذا الفايرس؟

 

[ZX00Mozilla00]

دى كل المسارات بس اللى متكرر هو اللى باللون الاحمر

Virus or unwanted program 'HEUR/Crypted.E [heuristic]'
detected in file 'C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9L8A8F5Z\z4[1].zip.
Action performed: Move file to quarantine

Virus or unwanted program 'TR/AntiHosts.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\drivers\etc\hosts.
Action performed: Delete file

Virus or unwanted program 'WORM/IrcBot.11656.3 [worm]'
detected in file 'C:\WINDOWS\system32\drivers\minisv32.sys.
Action performed: Delete file

Virus or unwanted program 'BDS/Agent.akyr [backdoor]'
detected in file 'C:\mscom.exe.
Action performed: Delete file

Virus or unwanted program 'BDS/Agent.akyr [backdoor]'
detected in file 'C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNEPZY4P\index-csphp1[1].txt.
Action performed: Delete file
​

 

[ZX00Mozilla00]

موقع بيعرض نفس مشكلتى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[mekadoo]

يوجد حلول

الحل الأول هو عمل فورمات للسى و تنزيل نسخة ويندوز نظيفة تماما

الحل التانى هو استخدم اسطوانة انقاذ للأفيرا مثلا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[Juve Guard]

اخوي طبق التالي :
* عطل خاصية استعادة النظام
* حمل الملف

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

* ادخل على الوضع الآمن
* شغل الملف ( HostsXpert.exe ) بعد فك الضغط عنه
* اضغط ( Restore MS Host File ) لإعادة ضبط ملف الهوست

* تطلع لك رساله وافق عليها

* الحين من واجهة الملف الرئيسية اضغط ( Make ReadOnly ) لحماية الملف من التعديل او التغيير

الحين اعد التشغيل وادخل على الوضع العادي
وان شاء الله ما تصير المشكله من جديد

 

[ZX00Mozilla00]

تم بالفعل حل مشكلة ملف الهوست عندما تم عملة Make ReadOnly فمحصلش علية اى تعديل الحمد لله .. لكن مازال عند دخول الويندوز ظهور ملفات الفيرس الاخرى مع العلم إن تم عمل فورمات وتصطيب النظام أكتر من مرة لكن الفيرس بيرجع تانى بمجرد الدخول على الشبكة .. وبعد حل مشكلة الهوست مازال النت بيعلق ومازالت هناك فيروسات أخرى تظهر عند بداية تشغيل النظام وهى Virus or unwanted program 'WORM/IrcBot.11656.3 [worm]' detected in file 'C:\WINDOWS\system32\drivers\minisv32.sys. Action performed: Delete file Virus or unwanted program 'BDS/Agent.akyr [backdoor]' detected in file 'C:\mscom.exe. Action performed: Delete file Virus or unwanted program 'BDS/Agent.akyr [backdoor]' detected in file 'C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GNEPZY4P\index-csphp1[1].txt. Action performed: Delete file فما الحل وهل هذة الفيروسات يمكنها التنقل عبر الشبكة مع العلم إن مفيش شير ولا الفيرس ده بيجي منين على كل الاجهزة اللى فى الشبكة

 

[ZX00Mozilla00]

لتحميل الملفات المتفيرسة أضغط على المسار .. وأرجو الرد على المشاركة السابقة .. هل الفيرس ده ممكن يتنقل عبر الشبكة ولا لاء.
​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[ZX00Mozilla00]

ياجماعة لما كان برنامج الأفيرا السكيورتى شغال ظهر رسالة تحتوى على الكلام ده مع العلم إن رقم الأي بى بتاعى هو رقم 4
​

Blocked application:
Local IP: 192.168.1.4
Local Port: 54790
Remote IP: 192.168.1.13
Remote Port: 48385
Action Code: Connect
Application Path: C:\WINDOWS\System32\wbem\wmisrsc.exe
User: SYSTEM
​