حمد16

زيزوومي نشيط
إنضم
28 يناير 2009
المشاركات
135
مستوى التفاعل
7
النقاط
170
الإقامة
in baniyas
غير متصل
السلام عليكم ورحمه الله وبركاتــه

كــيف الحــآل يآ اعضـآء زيزوم .؟ .؟
اتمنـى ان تكونون بخــير وصحه وعـآفــيه .. !!

مشكلتي مع فآيرس الخبيث { Surabaya in my birthday Virus } :y:

صوره منـه .. تيجي عند بدآيه تشغــيل الكمبيوتر

surabaya-ss.jpg


وظهرت لي المشكله هذي امـس او اول امس تقريبــآ .. !!:er: <-- مآيهمنـأ متى اجت

اريد حل لهذآ الخبيث .. طبعـأ شبآب غـير الفورمآت :no:

الجهاز فيه اشيآء مهمه ومآ اريدها تروح .. بحوث تقآرير معـلومآت موآقـع ..<-- الحين ترويهم انك مدير موقع ولا كيف !! :hh:

هذآ هو التقرير حقي عن طريق برنآمج "HJTInstall"

كود:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:05:47 م, on 15/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal[/FONT]
[FONT=Tahoma]Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AppServ\Apache\Apache.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\AppServ\mysql\bin\mysqld-nt.exe
D:\AppServ\Apache\Apache.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\8D2521\473FF2.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Documents and Settings\ROCK\Start Menu\Programs\Startup\Adobe Online.com
C:\Documents and Settings\ROCK\Start Menu\Programs\Startup\Adobe update.com
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\ROCK\LOCALS~1\Temp\winfvnaa.exe
C:\WINDOWS\system32\7B16E2\ZX-4341F.EXE
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe[/FONT]
[FONT=Tahoma]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [/FONT][URL="http://go.microsoft.com/fwlink/?LinkId=54896"][FONT=Tahoma]http://go.microsoft.com/fwlink/?LinkId=54896[/FONT][/URL]
[FONT=Tahoma]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [/FONT][URL="http://www.google.ae/"][FONT=Tahoma]http://www.google.ae/[/FONT][/URL]
[FONT=Tahoma]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [/FONT][URL="http://go.microsoft.com/fwlink/?LinkId=69157"][FONT=Tahoma]http://go.microsoft.com/fwlink/?LinkId=69157[/FONT][/URL]
[FONT=Tahoma]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [/FONT][URL="http://go.microsoft.com/fwlink/?LinkId=54896"][FONT=Tahoma]http://go.microsoft.com/fwlink/?LinkId=54896[/FONT][/URL]
[FONT=Tahoma]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [/FONT][URL="http://go.microsoft.com/fwlink/?LinkId=54896"][FONT=Tahoma]http://go.microsoft.com/fwlink/?LinkId=54896[/FONT][/URL]
[FONT=Tahoma]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [/FONT][URL="http://go.microsoft.com/fwlink/?LinkId=69157"][FONT=Tahoma]http://go.microsoft.com/fwlink/?LinkId=69157[/FONT][/URL]
[FONT=Tahoma]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SnapFlash Class - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Program Files\Common Files\Justdo\Jd2002.dll
O2 - BHO: LeapFTP Internet Explorer Hook - {A5479DA1-7843-43A7-B5C0-BE342C77B629} - D:\PROGRA~1\LEAPFT~1.0\lftpie.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [473FF2] C:\WINDOWS\system32\8D2521\473FF2.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 473FF2.lnk = C:\WINDOWS\system32\8D2521\473FF2.EXE
O4 - Startup: Adobe Online.com
O4 - Startup: Adobe update.com
O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Program Files\Common Files\Justdo\IECatcher.DLL/FlashCatcher.htm
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL
O9 - Extra 'Tools' menuitem: Flash Catcher - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - C:\Program Files\Common Files\Justdo\IECatcher.DLL
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - [/FONT][URL="http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab"][FONT=Tahoma]http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab[/FONT][/URL]
[FONT=Tahoma]O23 - Service: Apache - Unknown owner - D:\AppServ\Apache\Apache.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySQL - Unknown owner - D:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe[/FONT]
[FONT=Tahoma]--
End of file - 5780 bytes

شبآب اريد الحــل بآسرع وقت ممكن ! ! ؟
 

توقيع : حمد16
مأ فهمتك .. اخوي ..

متى رآح يجهز السكربت هذآآ ! لاني يوم الخميس ابي الجهاز يكون فآضي من الفيروسآآت !
 

توقيع : حمد16
اب اب اب ..!

شبآب ارجووكم ردوووو!!
 
توقيع : حمد16
وينكم شبآآأآأب !؟

اب اب !
 
توقيع : حمد16
الرجآء "غلـلق الموضوع " لاني بسوي فورمآت ورآح افتك من كل الفيروسآت واولهم ذآ
 
توقيع : حمد16
دقيقة ، باقي حل اخير :d:
 
توقيع : Corporation
الحل الاول ،

حمل هت الاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعدها عيد التشغيل وادخل بـ الوضع الامن ،

تسذـآ ،

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعدهــا تشغل الاداه ،
وخلها تفحص واي اصابات بتحصلها قم بحذفها فورا ،

اللي بعده ،

تفتح الدوس ، كـ التالي ،

Go to Start Menu>Click on RUN>Type ‘cmd’ ,Click ‘OK’.

بعدها ، تسمح المسارات التاليه ،

كود:
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeCaption /f
وهذا بعد ،

كود:
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v LegalNoticeText /f
بدال ما تجلس تكتب الاوامر ، على طول سوى كذا ،

i56840_wwewe.jpg



وهذي رسالة تقولك انه تم الحذف بننجاح ،

i56845_fffffffffff.jpg


الحين ادخل على الرجستري ،

regedit2.png


واذا طلع لك ان الرجستري معطل ما يبي يشتغل مثل هـ الرسالة ،

regedit1.JPG


تطبق التالي ،

حمل هذا الملف ،

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ودبل كليك عليه واالامور ان شاء الله سهالات ، :b:

لاحظ ،

i56841_frdef.jpg


بعد ما تدخل على الرجستري ،

تابع المسار التالي ،

كود:
[B]HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CURRENTVERSION >WINLOGON[/B]
ومن على يمين الشاشه ، تابع هـ القيمتين وقم بحذفهمــا ،

winlogonqv8.png

مرة ثانية ادخل على الرجستري وطبق التالي ،

regedit2.png


folderoptions2.png


folderoptions3.png


بعد فولدر يـ الحبيب ، تروح لـ الملف ، اللي بـ الصورة ، اللي اسمــه ..
كود:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Explorer\Advanced\Folder\[COLOR=Red]Hidden[/COLOR]\[COLOR=Blue]NOHIDDEN[/COLOR]
محدد لك عليه بـ الاحمر ، يـ بعدي ،

بعدها تحدد على القيمة NOHIDDEN من اليسار ، وتروح ليمين وتسوي كما هو بالصورة ،
folderoptions4.png


المهم ،

تغير القيمة ، اللي بـ الصورة ،

وتعمل زي ماهو واضح ،

folderoptions5.png


..

بعدها تنزل للقمية اللي بعدها واسمها

SHOWALL

وتأكد من ان الثيم نفس كماهي بـ الصورة

folderoptions6.png


بعد كل هذا ،

تروح لـ خيارات المجلد ، وتظهر الملفات المخفيــه ،
واذا ما نفع بعــد ،

طبق التالي ،

اظغط على ctrl + Alt + delete

folderoptions7.png


وسو لـ هالتطبيق انهـــااء ..

شووف بعد طبق التالي ،

علشان ان الفايروس يشتغل مع بدء التشغيل ،

1) من ابدأ start


2) تشغيل RUN


3) اكتب MSCONFIG


4) موافق Ok


5) من الاعلى بدءالتشغيل STARTUP


i17239_210630011241.png


وشل كل علامات الصح ، الا تبع برنامج الحماية لديك ،

ويـ حبذا لو توقف " القراءه التلقائية " للملفــــــــــااات ،

<< ترررجمته لك وهد حيلي والله ، :b:

هذا ما لدي ، موفــق ،


 
توقيع : Corporation
عودة
أعلى