• بادئ الموضوع بادئ الموضوع wael615
  • تاريخ البدء تاريخ البدء
  • المشاهدات 849

wael615

زيزوومي جديد
إنضم
19 فبراير 2008
المشاركات
68
مستوى التفاعل
4
النقاط
80
الإقامة
egypt
غير متصل
اصدقائى عمالقة المنتدى وعمالقة برامج الانتى فيرس والهاكرز
اننى اعانى من مشكلة غريبة حدثت لى بالامس فقط
لقد كان الجهاز يعمل لدى جيدا وكنت اعمل كالمعتاد ببرنامج الحماية كاسبر 7,125
ثم بعد ذلك كنت اتجول على الانترنت فكان اول شيئ غريب ان الكل المواقع يتم فتحها الا موقع facebook
ثم ادخلت الفلاش ميمورى ونضفتها كالمعتاد قبل أن افتحها ولم يكن هناك شيئ غريب
وبعد فترة قليلة بدأت أشياء غريبة تحدث مثل اختفاء جزء المهام الجانبى من الشاشة كم حث تجمد لبعض الفلدرات وليس كلها كم تم تغيير لطريقة عرض الفلدرات واصبح الجهاز لا يطاق فتوقعت ان هناك فيرس ولكنى وجدت ان كل الملفات الخفية ظاهرة ولا يوجد برنامج او اسم غريب مثل ما يحدث لفيروسات اوتو رن
فقت بفحص الجهاز وايضا فحصته من برنامج nc (dos) ,ولكن النتيجة كانت سلبية
فقمت بتغيير النسخة windows xp وانزلت النسخة الجديدة من كاسبر انترنت سيكيورتى 8 وانزلت برنامج zonealarm
ووجدت أن هناك الأن تجمد لبعض الفلدرات وبطئ شديد لبعض البرامج
كما ان هناك شيئ لا وجد له اسم يريد ان يكون سيرفر كما يخبرنى برنامج زونالرم
الان هناك فلدر للبرامج لدى لا يفتح اطلاقا كلما ضغط عليه تتجمد النافذة فاضطر لانها المهمة
وعندما اريد شيئا منه اضررت ان افتحه من شريط جديد فى شريط المهام
لا اعرف ماذا حدث للجهاز هل هو فيرس ام اختراق هاكر او تروجان لا اعلم
وهذا تقرير hijack
Logfile of HijackThis v1.99.1
Scan saved at 07:43:20 م, on 05/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\VerbAce\VerbAce.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\ZoneLabs\MINILOG.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\wael\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [VerbAce] C:\Program Files\VerbAce\VerbAce.exe -AutoRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F62EF0-A94D-40C7-830C-134BD4C7460D}: NameServer = 163.121.128.134,163.121.128.135
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
علما بان البروسيسور عندى 3 ورامات جيجا ودرجة الحرارة43 وسرعة مروحة البروسيسور 2960
ارجوا المساعدة لا اعرف ماذا افعل:er::er::er::er::er:
 

اهلا وسهلا بك​

قم بتحديد القيمة التالية واحذفها
C:\Program Files\VerbAce\VerbAce.exe​

(الحذف بواسطة اداة الهايجاك)

cca%20(8).png

wh_80835080.png

cca%20(10).png

cca%20(11).png

cca%20(12).png

cca%20(13).png

cca%20(14).png

ثم حدد القيمة التالية و احذفها​

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll​

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll​

O4 - HKLM\..\Run: [VerbAce] C:\Program Files\VerbAce\VerbAce.exe -AutoRun​



طريقة الحذف


mg%20(3).png


mg%20(4).png


ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png

001.png

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png



حمل هذه الاداة ,,
واتبع الشرح التالي ,, لتنظيف جهازك من هذه الدعايات
و عمل تقرير بالعمليه حتى ترفقه بردك القادم ,,

رابط تحميل آخر تحديث للاداة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


شرح الاستخدام ,,,,,,
قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

000.png




001.png




002.png




003.png




004.png




005.png


ثم اعمل تقرير اخر بهايجيك​

باالتوفيق​
 
شكرا اخى المانسى على الرد والاهتمام لقد قمت بكل ما طلبته منى مع العلم بان verbace ماهو الا قاموس استخدمه منذ فترة طويلة ولم يسبب اى مشاكل على العموم لقد استخدمت البرامج التى اعطيتها لى ولكن الوضع على ما هو عليه كم ان الجهاز اصبح بطئ فى تعامله وهذا هو التقرير صديقى المحترم ارجوا المساعدة هل المشكلة فيرس ام هاكرز ام هل اركب نسخة وندوز جديدة ام ما يحدث هو تروجان او ورم
ام ماذا لا ادرى:?::?::?: وهذا هو التقرير الذى اعطاه البرنامج الاخير لى
SmitFraudFix v2.319
Scan done at 20:57:03.84, Mon 05/05/2008
Run from C:\Documents and Settings\wael\My Documents\Downloads\Programs\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Attansic L2 Fast Ethernet 10/100 Base-T Controller - Packet Scheduler Miniport
DNS Server Search Order: 192.168.16.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B2F62EF0-A94D-40C7-830C-134BD4C7460D}: DhcpNameServer=192.168.16.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B2F62EF0-A94D-40C7-830C-134BD4C7460D}: DhcpNameServer=192.168.16.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B2F62EF0-A94D-40C7-830C-134BD4C7460D}: DhcpNameServer=192.168.16.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.16.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.16.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.16.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

شكرا للاهتمام وبانتظار المساعدة
 
وهذا تقرير hijackthis الان
Logfile of HijackThis v1.99.1
Scan saved at 09:04:53 م, on 05/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\ZONELABS\minilog.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\wael\Desktop\HijackThis.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
طيب اعمل التالي


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes


انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم


ثم اعمل تقرير اخر بهايجيك
 
شكرا اخى منسى على الرد ولكن نفس مشكلة بطئ الجهاز لا تزال مستمرة وايضا مجلد البرامج لا يريد ان يفتح بيهنج
وهذا هو التقرير
ComboFix 08-05-01.3 - wael 05/05/2008 22:09:09.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.696 [GMT 3:00]
Running from: C:\Documents and Settings\wael\My Documents\Downloads\Programs\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-04-05 to 2008-05-05 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 19:04 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-05 19:04 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-05 19:04 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-05 19:04 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-05 17:47 327,680 ----a-w C:\WINDOWS\Internet Logs\rDB2.tmp
2008-05-05 17:46 --------- d-----w C:\Documents and Settings\wael\Application Data\CyberScrub
2008-05-05 17:46 --------- d-----w C:\Documents and Settings\wael\Application Data\cleaner
2008-05-05 17:31 --------- d-----w C:\Program Files\Spyware Doctor
2008-05-05 12:28 --------- d-----w C:\Program Files\Sophos
2008-05-05 06:23 327,680 ----a-w C:\WINDOWS\Internet Logs\rDB1.tmp
2008-05-05 05:47 --------- d-----w C:\Documents and Settings\wael\Application Data\IDM
2008-05-05 05:46 --------- d-----w C:\Program Files\Internet Download Manager
2008-05-05 03:48 --------- d-----w C:\Documents and Settings\wael\Application Data\Media Player Classic
2008-05-05 03:30 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-05-05 03:28 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-05-05 03:07 --------- d-----w C:\Documents and Settings\wael\Application Data\Yahoo!
2008-05-05 03:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-05 02:54 --------- d-----w C:\Program Files\Yahoo!
2008-05-05 02:54 --------- d-----w C:\Documents and Settings\wael\Application Data\ACD Systems
2008-05-05 02:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-05-05 02:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems
2008-05-05 02:53 --------- d-----w C:\Program Files\Common Files\ACD Systems
2008-05-05 02:53 --------- d-----w C:\Program Files\ACD Systems
2008-05-05 02:11 --------- d-----w C:\Documents and Settings\wael\Application Data\DMCache
2008-05-05 01:34 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-05 01:34 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-05 01:33 --------- d-----w C:\Program Files\QuickWiz
2008-05-05 01:33 --------- d-----w C:\Program Files\Common Files\GuruNet Shared
2008-05-05 01:33 --------- d-----w C:\Program Files\Common Files\Accent Shared
2008-05-05 01:32 720,896 ----a-w C:\WINDOWS\iun6002.exe
2008-05-05 01:30 --------- d-----w C:\Program Files\VerbAce
2008-05-05 01:30 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-05 01:25 --------- d-----w C:\Program Files\TuneUp Utilities 2007
2008-05-05 01:25 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-05-05 01:25 --------- d-----w C:\Documents and Settings\wael\Application Data\TuneUp Software
2008-05-05 01:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-05-05 01:18 --------- d-----w C:\Program Files\Zone Labs
2008-05-05 01:15 --------- d-----w C:\Program Files\Attansic
2008-05-05 01:15 --------- d-----w C:\Program Files\ASUS
2008-05-05 01:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-05 01:12 --------- d-----w C:\Program Files\Realtek
2008-05-05 01:12 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-05-05 01:10 --------- d-----w C:\Program Files\Intel
2008-05-05 01:07 --------- d-----w C:\Program Files\Kaspersky Lab
2008-05-05 01:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-05 01:03 --------- d-----w C:\Program Files\Java
2008-05-05 01:03 --------- d-----w C:\Program Files\Common Files\Java
2008-05-05 01:03 --------- d-----w C:\Program Files\BitLord
2008-05-05 00:55 --------- d-----w C:\Program Files\microsoft frontpage
2008-04-28 05:03 82,944 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-04-28 05:03 82,944 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-04-25 15:22 206,088 ----a-w C:\WINDOWS\system32\klogon.dll
2008-04-25 15:21 26,964 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-04-24 05:10 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-04-16 11:23 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-03-25 17:07 24,592 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
2008-03-13 16:02 26,640 ----a-w C:\WINDOWS\system32\drivers\klfltdev.sys
.
------- Sigcheck -------
06/11/2006 11:19 AM 359040 80082776f5f39852ee40c521806e1135 C:\WINDOWS\system32\drivers\tcpip.sys
06/11/2006 02:18 PM 2015232 d63fd86928ac1cfc299104a91abc4b06 C:\WINDOWS\system32\ntkrnlpa.exe
10/10/2006 02:00 PM 1182720 320d5b5f235810a265339c483ab76b15 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@Mon 05-05-2008_22.02.36.31 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-05 17:48:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-05 19:05:18 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2004-08-12 09:00:00 450,560 ------w C:\WINDOWS\system32\jscript.dll
+ 2007-07-31 17:45:24 491,520 ----a-w C:\WINDOWS\system32\jscript.dll
- 2004-08-12 09:00:00 151,552 ------w C:\WINDOWS\system32\scrrun.dll
+ 2007-07-31 17:45:28 155,648 ----a-w C:\WINDOWS\system32\scrrun.dll
- 2004-08-12 09:00:00 65,536 ------w C:\WINDOWS\system32\wshext.dll
+ 2007-07-31 17:45:30 69,632 ----a-w C:\WINDOWS\system32\wshext.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [05/05/2008 08:47 AM 894208]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [04/25/2008 06:21 PM 201992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [08/12/2004 12:00 PM 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [01/29/2008 06:29 PM]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [08/12/2004 12:00 PM]
R3 AtcL002;NDIS Miniport Driver for Attansic L2 Fast Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl02_xp.sys [10/31/2006 08:50 AM]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [03/13/2008 07:02 PM]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [03/25/2008 08:07 PM]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\5.tmp []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-05-05 22:10:01
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\C:\WINDOWS\system32\5.tmp"
.
Completion time: 05/05/2008 22:10:21
ComboFix-quarantined-files.txt 2008-05-05 19:10:20
ComboFix2.txt 2008-05-05 19:02:46
Pre-Run: 11,106,385,920 bytes free
Post-Run: 11,101,372,416 bytes free
137



كما أن هذا تقرير هايجاك

Logfile of HijackThis v1.99.1
Scan saved at 10:16:27 م, on 05/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\wael\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O23 - Service: Kaspersky Internet Security (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\minilog.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
 
هل جهازى مخترق ام اعيد تسطيب نسخة الويندوز:?::i:
 
عيد تسطيب الويندوز ومش هتخسر شي صح؟؟؟؟؟؟؟؟؟؟؟
 
عودة
أعلى