[تم حل المشكلة]هل bgsmsnd.exe تجسس او فيرس

[totei]

السوال باين من العنوان كان عندى مشكلة فى ال msconfig وقمت بتحميل برنامج الامس اس كونفيج ووضعتة فى مكانة

وبعدها ذهبت الى run واشتغل معاى ولكن وجدت شى غريب بعض البرامج الغريبة كما فى الصورة ومنها ال bgsmsnd.exe هل هذا فيرس او ملف تجسس هو وال rundll32.exe

واذا كان الجواب لا فما فائدتهم ووظيفتهم

السوال الثانى فى بداية التشغيل يقوم الوندوز بفتح مجلد فى البارتيشن g هل هذا بسبب ا ام اس كونفيج وكيف الغى فتح المجلد فى بداية التشغيل

هذا غير اختلاف تسمية الدرايف ظاهر بشكل غريب يوجد رموز قبلها كما فى الصورة

 

[MAAX]

حمل هذا البرنامج

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

بعدها اغلق جميع البرامج وخصوصا الانترنت اكسبلورر والماسنجر
شغل البرنامج ==> واضغط على
Do a system scan and save log
لحظات .. ويظهر لك تقرير داخل المفكرة==> انسخه والصقه بردك القادم​

 

[totei]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

يا نهاااااااااااااااااااااااااار المدير العام بنفسة بيتابع مشكلتى

كدة كان الواحد قال ياريت الجهاز خرب من زمان عشان تشرفنا

اتفضل يا ريس

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:02:38 ص, on 15/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
H:\WINDOW\System32\smss.exe
H:\WINDOW\system32\winlogon.exe
H:\WINDOW\system32\services.exe
H:\WINDOW\system32\lsass.exe
H:\WINDOW\system32\svchost.exe
H:\WINDOW\System32\svchost.exe
H:\WINDOW\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir Desktop\sched.exe
H:\Program Files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
H:\WINDOW\Explorer.EXE
H:\WINDOW\system32\rundll32.exe
H:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
H:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
H:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
H:\Program Files\Avira\AntiVir Desktop\avguard.exe
H:\WINDOW\system32\AstSrv.exe
H:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\WINDOW\system32\svchost.exe
H:\Program Files\Avira\AntiVir Desktop\avmailc.exe
H:\WINDOW\system32\ntvdm.exe
H:\Program Files\TechSmith\Snagit 9\Snagit32.exe
H:\Program Files\TechSmith\Snagit 9\TSCHelp.exe
H:\Program Files\TechSmith\Snagit 9\SnagPriv.exe
H:\Program Files\TechSmith\Snagit 9\snagiteditor.exe
E:\Zyzoom.org_Tool_V_1.0.exe
H:\DOCUME~1\XPPRESP3\LOCALS~1\Temp\zyaoom Tool\Hijack.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - H:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - H:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - H:\WINDOW\System32\spool\DRIVERS\W32X86\3\bgstb.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - H:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - H:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - H:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [OutpostMonitor] "H:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "H:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dumps_startup
O4 - HKLM\..\Run: [bgsmsnd.exe] ; H:\WINDOW\system32\bgsmsnd.exe
O4 - HKLM\..\Run: [MSConfig] H:\WINDOW\system32\msconfig.exe /auto
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] ; H:\WINDOW\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOW\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "H:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOW\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: Send to &Bluetooth Device... - H:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: تدوين هذا في المدونة - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &تدوين هذا في Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: املأ النماذج - {320AF880-6646-11D3-ABEE-C5DBF3571F46} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: ملئ النماذج - {320AF880-6646-11D3-ABEE-C5DBF3571F46} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: حفظ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: حفظ النماذج - {320AF880-6646-11D3-ABEE-C5DBF3571F49} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - H:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: روبوفورم - {724d43aa-0d85-11d4-9908-00400523e39a} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: شريط ادوات روبوفورم - {724d43aa-0d85-11d4-9908-00400523e39a} -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - H:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - H:\Documents and Settings\XPPRESP3\Start Menu\Programs\IMVU\Run IMVU.lnk
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) -

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{04D0F58A-7E37-4D90-B166-046ED055FBAB}: NameServer = 4.3.3.2,4.2.2.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{28370710-0963-4A26-8DBB-5200DDA7821C}: NameServer = 163.121.128.134,212.103.106.18
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D0F58A-7E37-4D90-B166-046ED055FBAB}: NameServer = 4.3.3.2,4.2.2.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{04D0F58A-7E37-4D90-B166-046ED055FBAB}: NameServer = 4.3.3.2,4.2.2.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - H:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - H:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - H:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - H:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - H:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - H:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AST Service (astcc) - Nalpeiron Ltd. - H:\WINDOW\system32\AstSrv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - H:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - H:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)
--
End of file - 9313 bytes

 

[totei]

فوووووووووووق للذوق

 

[q8top]

السلام عليكم

اخوي لو سمحت امسح القيمة التالية من برنامج الهايجاك

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

طريقة الحذف بعد ماتنتهي من التحليل حدد القيمة المذكورة واضغط على كلمة Fix في البرنامج وان شاء الله تنحل مشكلتك

 

[MAAX]

الله يسلمك اخي
اعمل هذا الفحص

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

[totei]

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

اتفضل لم يكتشف اى شئ ضار k:

Malwarebytes' Anti-Malware 1.42
نسخة قاعدة البيانات: 3350
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
15/12/2009 07:17:38 م
mbam-log-2009-12-15 (19-17-38).txt
نوع البحث: بحث شامل (C:\|D:\|E:\|F:\|G:\|H:\|)
تم فحص: 319469
الوقت المنقضى: 1 hour(s), 6 minute(s), 7 second(s)
عمليات الذاكرة المصابة: 0
وحدات الذاكرة المصابة: 0
مفاتيح التسجيل المصابة: 0
قيم التسجيل المصابة: 0
بيانات التسجيل المصابة: 0
مجلدات مصابة: 0
ملفات مصابة: 0
عمليات الذاكرة المصابة:
(لم يتم الكشف عن أية عناصر ضارة)
وحدات الذاكرة المصابة:
(لم يتم الكشف عن أية عناصر ضارة)
مفاتيح التسجيل المصابة:
(لم يتم الكشف عن أية عناصر ضارة)
قيم التسجيل المصابة:
(لم يتم الكشف عن أية عناصر ضارة)
بيانات التسجيل المصابة:
(لم يتم الكشف عن أية عناصر ضارة)
مجلدات مصابة:
(لم يتم الكشف عن أية عناصر ضارة)
ملفات مصابة:
(لم يتم الكشف عن أية عناصر ضارة)

 

[MAAX]

اخر شي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

[totei]

اتفضل يا مديرنا واسمحلنا على تعبك معانا

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

[MAAX]

حمل الملف التالي

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

وطبق عليه هذا الشرح

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

ثم

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 

[totei]

تم عمل اللازم والحمد لله تم حذف bgsmsnd.exe ولكن ما زالت موجودة الرموز الغريبة كما فى الصورة الموضوحة فى الاعلى قبل الدرايف

سوالى الثانى يا مديرنا اذا سمحتلى

ممكن نحذف القيم الاتية كما فى الصورة وهل تاثر ولا وجودها ضرورى اعتقد انها مفقودة

 

[MAAX]

لا اخي
هذه ما تحذف
لانها تابعة لتعاريف جهازك
واذا حذفتها الله يعينك

 

[totei]

طيب وبالنسبة للرموز اللى قبل الدرايف

 

[MAAX]

مافيها مشكلة
وانا عندي نفس الشيء

 

[totei]

طالما مثل ما عند مديرنا شئ بشرفنا تسلم يالغالى

ربنا يباركلنا فيك

 

[MAAX]

الله يوفقك اخي