مشكلة في فتح المشغلات

[*زمـــردة* 59]

وانتِ من اهل الجزاء ياحبيبة

 

أريد أن اعرف هل التاسك مانجر عندك شغال Task Maneger

 

 

هل سيظهر لكِ نافذة مكتوب عليها Task Maneger

 

بانتظارك بإذن الله

 

: )

[مسك الجنة 2 0]

نعم موجود حبيبتي

[مسك الجنة 2 0]

لا حول ولا قوة إلا بالله العلي العظيم بعد ما ظبتنا كل حاجة بفتح لقيت المشغلات مش راضية تفتح تاني عملت سكان على الاقراص كلها

لقيت الناتج 27 فيروس مسحتهم وعمل ريسارت وكل إما احاول افتح المشغلات يظهر لى القائمة بتاعة Open with

مش عارفة اعمل إيه تعبت وتعبتك معايا هو ممكن تكون المشكله من الكيسة نفسها ومش من الملفات والبرامج؟ يعني لازم يتصلح في الصيانة ولا إيه أنا آسفة جدا يا زمردة أنا تعبتك معايا كل إنسان وله طاقة برده أنا حبيت أعرفك بس ومش عايزاكي تتعبك نفسك تاني

عايزاكي تقوليلى بس العيب من إيه لو عارفة عشان أبعته يتصلح .أنا آسفة على الاطاله

[*زمـــردة* 59]

: )

 

كل ده بالراحة شوية

 

والله أنا مش متضايقة وكمان زعلانة منك عشان الكلام ده كله

 

بس أنا قلبى ابيض وهسامحك

 

: )

 

شوفى ياستى الفيرس اللى طلعه المالوير ده رخم جداً وبصراحة مش كنت مصدقة إنه اتحذف كدة بسهولة

 

لذلك سألتك عن التاسك مانجر

 

سيبك دلوقتى من المشغلات أهم شىء نحذف الفيرس وبعد كدة نضبطهم بإذن الله

 

أول شىء عملتى سكان بإيه بالمالوير؟

 

نريد أن نقوم بخطوة تعطيل إستعادة النظام

 

 

 

بعد ذلك فضلاً حملى هذه الاداة

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

نضع الأداة على سطح المكتب

 

 

ينصح بشدة قبل استخدام الاداة باغلاق كافة البرامج وتعطيل برامج الحماية وترك الاداة تكمل عملية الفحص مهما طالت

 

يتم تشغيها بدبل كلك بعد التشغيل تابعى الشرح

 

 

ثم انتظرى حتى تخرج هذه الرسالة وتابعى الشرح

 

 

 

وهذه بعض من مراحل الفحص وتاكدى من عدم تحريك الجهاز او مقاطعة الفحص

 

 

 

عند المرحلة التالية قد يعاد تشغيل الجهاز في حال وجود اصابة قوية

 

وبعد اعادة التشغيل يكمل الفحص بشكل تلقائي

 

 

وعند المرحلة التالية يكون عملية انها الفحص وانشاء تقرير الفحص على القرص C كما هو واضح

 

 

بعد ذلك فضلاً أرفعى لى نسخة من التقرر الخاص بهذه الأداة + تقرير هايجاك جديد

 

بانتظارك بإذن الله

 

: )

[مسك الجنة 2 0]

شكرا يا زمردة ومتزعليش مني أنا آسفة حبيبتي أنا بس مش عايزة أتعبك.

ايوة انا عملت السكان بالمالوير وحملت الاداة الاخيرة دي وشغلتها وزي ما قلتى عمل اعادة تشغيل من نفسه

وبعدين بعد ما كتب Completed Stage من 1 إلى مش فاكرة آخر رقم ههههههه المهم كتب تحت الخطوات دي

Deleting Files

C info

خرجت منه مش عارفة خلص فحص ولا إيه بس كان اتأخر هو القرير النهائي بيظهر بأي شكل أنا معرفتش أعمل منه تقرير

 

وده تقرير الهايجاك

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:46:26 AM, on 3/7/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\Ela-Salaty\Salaty.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - Startup: Ela-Salaty.lnk = C:\Program Files\Ela-Salaty\Salaty.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 4024 bytes

[*زمـــردة* 59]

: )

 

أول شىء تأكدى من أن استعادة النظام مُعطلة

 

ثم حملى هذه الاداة وفكِ الضغط عنها ودبل كليك عليها (لازم تركبى أى فلاش عندك اثناء الفحص)

 

https://akhawat.islamway.net/forum/index.ph...t&id=221218

 

ستفتح لكِ صفحة الدوس السوداء اتركيها لحين الانتهاء

 

بعد ذلك حملى هذه الاداة

 

https://akhawat.islamway.net/forum/index.ph...t&id=221221

 

ايضاً فكِ الضغط عنها وشغليها بدبل كليك

 

واتركيها حتى تنتهى وفى الاخير سيظهر لكِ هذه النافذة

 

 

ثم

 

 

بعد ذلك فضلاً حملى الملف التالي

 

http://oldtimer.geekstogo.com/TFC.exe

 

شغليها حسب الصورة

 

 

سيتم اعادة تشغيل الجهاز اجباريا ،، احفظى اي اعمال تقومين بها

 

اضغطى start وانتظرى حتى انتهاء التنظيف

 

واضغطى موافقة للموافقة على اعادة تشغيل الجهاز

 

بعد اعادة التشغيل حاولى تثبتى الانتى فيرس

 

: )

[مسك الجنة 2 0]

السلام عليكم حياك الله حبيبتي

أنا عملت الخطوات الاخيرة كلها والحمد لله المشغلات فتحت بس الانتي فيروس مش راضي يثبت برده

وده تقرير الاداه الاخيرة

تم تعديل 7 مارس, 2011 بواسطة *زمـــردة*
تم حذف التقرير لأنه سبب مشكلة بالصفحة

[مسك الجنة 2 0]

ورجعت عملت سكان بالمالوير تاني وده التقرير بتاعه

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Database version: 5974

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

3/8/2011 12:28:55 AM

mbam-log-2011-03-08 (00-28-55).txt

 

Scan type: Full scan (C:\|D:\|)

Objects scanned: 147192

Time elapsed: 3 minute(s), 47 second(s)

 

Memory Processes Infected: 1

Memory Modules Infected: 0

Registry Keys Infected: 2

Registry Values Infected: 0

Registry Data Items Infected: 3

Folders Infected: 0

Files Infected: 2

 

Memory Processes Infected:

d:\doqhl.exe (Malware.Packer.Gen) -> 4072 -> Unloaded process successfully.

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

d:\doqhl.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

c:\ccxt.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[مسك الجنة 2 0]

وده تقرير هايجاك جديد عيشي بقى مع التقارير الله يكون في عونك

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:52:32 AM, on 3/8/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\Program Files\Ela-Salaty\Salaty.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\DOCUME~1\waleed\LOCALS~1\Temp\uhmv.exe

C:\DOCUME~1\waleed\LOCALS~1\Temp\flqu.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - Startup: Ela-Salaty.lnk = C:\Program Files\Ela-Salaty\Salaty.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 4117 bytes

[*زمـــردة* 59]

: )

 

للأسف كدة مازال هناك فيرس المفروض بعد هذه الخطوات تقرير المالوير يكون نضيف

 

هل وضعتى فلاشاتك اثناء الفحص ؟

 

هل تأكدتى أن استعادة النظام مُعطلة؟

 

 

فضلاً ياحبيبة حملى هذه الاداة

 

http://www.runscanner.net/runscanner.exe

 

 

دبل كليك واتبعى الشرح بالصور

 

 

لبدء الفحص

 

 

 

لحفظ ملف التقرير

 

 

بعد حفظه قومى بضغط الملف ورفعه على المرفقات

 

وهنا ستجدى شرح ضغطه ورفعه مشاركة رقم 35

 

https://akhawat.islamway.net/forum/index.ph...20&start=20

 

مضطرة اخرج الآن وبإذن الله اتابع معكِ غداً بإذن الله

 

: )

[مسك الجنة 2 0]

اعذريني ولكن ما معنى أن أضع فلاشاتي أثناء الفحص :smile: :oops:

[مسك الجنة 2 0]

runscanner.zip

[*زمـــردة* 59]

اعذريني ولكن ما معنى أن أضع فلاشاتي أثناء الفحص :mrgreen: :closedeyes:

: )

 

عذراً ياحبيبة اوضح لكِ

 

أى وصلة تنقلى بها من جهاز لجهاز usb

 

لأن ممكن نكون بننظف الجهاز لكن هذه الفلاشة يكون بها فيرس ويتنقل مرة اخرى للجهاز

 

لذلك يجب عند عمل فحص المالوير إنها تكون متوصلة بالجهاز

 

فضلاً ياحبيبة حملى هذا الملف

 

فكِ عنه الضغط واتبعى الصور بارك الله فيكِ

 

أختارى كما بالصورة

 

 

 

ربما يطلب إعادة تشغيل

 

بعد ذلك اريد إذا عندك فلاشات وضعها بالجهاز وعمل فحص بالمالوير ونسخ التقرير

 

: )

[مسك الجنة 2 0]

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Database version: 5974

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

3/8/2011 8:02:02 PM

mbam-log-2011-03-08 (20-02-02).txt

 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|)

Objects scanned: 147288

Time elapsed: 3 minute(s), 43 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 2

Registry Values Infected: 0

Registry Data Items Infected: 3

Folders Infected: 0

Files Infected: 5

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

c:\ccxt.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\doqhl.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\udpto.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

f:\ndjb.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

g:\ecib.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[مسك الجنة 2 0]

حياك الله زمردة كان في خطوة مكنتش عملتها وده التقرير الجديد

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Database version: 5974

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

3/8/2011 8:44:19 PM

mbam-log-2011-03-08 (20-44-19).txt

 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Objects scanned: 147289

Time elapsed: 3 minute(s), 46 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 1

Registry Values Infected: 0

Registry Data Items Infected: 3

Folders Infected: 0

Files Infected: 5

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

c:\ccxt.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

d:\doqhl.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\udpto.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

f:\ndjb.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

g:\ecib.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[*زمـــردة* 59]

: )

 

حياكِ الله ياحبيبة

 

فضلاً وصلى مرة اخرى الفلاشات بالجهاز ونفذى هذه الخطوات مرة أخرى بمنتهى الدقة خصوصاً خطوة تعطيل النظام

 

نريد أن نقوم بخطوة تعطيل إستعادة النظام

 

 

 

بعد ذلك فضلاً حملى هذه الاداة

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

نضع الأداة على سطح المكتب

 

 

ينصح بشدة قبل استخدام الاداة باغلاق كافة البرامج وتعطيل برامج الحماية وترك الاداة تكمل عملية الفحص مهما طالت

 

يتم تشغيها بدبل كلك بعد التشغيل تابعى الشرح

 

 

ثم انتظرى حتى تخرج هذه الرسالة وتابعى الشرح

 

 

 

وهذه بعض من مراحل الفحص وتاكدى من عدم تحريك الجهاز او مقاطعة الفحص

 

 

 

عند المرحلة التالية قد يعاد تشغيل الجهاز في حال وجود اصابة قوية

 

وبعد اعادة التشغيل يكمل الفحص بشكل تلقائي

 

 

وعند المرحلة التالية يكون عملية انها الفحص وانشاء تقرير الفحص على القرص C كما هو واضح

 

 

بعد ذلك فضلاً اريد فحص بالمالوير ايضاً مع توصيل الفلاشات بالجهاز

 

بعد ذلك أرفعى لى نسخة من التقرر الخاص بهذه الأداة + تقرير المالوير

 

بانتظارك بإذن الله

 

: )

[مسك الجنة 2 0]

untitled.bmp

 

حياك الله يا غالية مكنتش شفت ردك الاخير ومسحت الانتي فيروس اللى عندى وحملت واحد تاني بس كل اما اجى اشغله تجينى الرسالة دى مع انه

شغال مع الانترنت تمام ومفيش أي برنامج حمايه اخر راضى يشتغل

[مسك الجنة 2 0]

معلش الصورة مش واضحة اوي اصل اول مرة ارفق صورة

[مسك الجنة 2 0]

untitled.bmpأنا جربته على النت وشغال تمام بس مش راضي يشتغل مع الجهاز نفسه ولا حتى صفحته الرئيسية بتفتح

[*زمـــردة* 59]

حياكِ الله ياحبيبة

 

فضلاً الالتزام بالخطوات التى اكتبها لكِ

 

لانريد انتى فيرس الآن لأن الجهاز لن يقبله إلا بعد حذف الفيرس

 

وهذه الخطوات ستعطلنا بعد ذلك لأن الانتى فيرس نزل عندك مش كامل ولما نيجى نحذفه وننزله من الأول ممكن يسبب مشكلة

 

لذلك فضلاً اتبعى الخطوات امكتوبة فقط

 

بنتظر منكِ تنفيذ أخر رد لى بدقة ووضع التقارير المطلووبة بارك الله فيكِ

 

: )

[مسك الجنة 2 0]

السلام عليكم ورحمة الله وبركاته حياكِ الله زمردة

أنا عملت مثل ما قلتي وده قرير الاداه

log.txt

 

وده تقرير المالوير

 

mbam_log_2011_03_09__20_36_37_.txt

[*زمـــردة* 59]

وعليكم السلام ورحمة الله وبركاته

 

حياكِ الله ياحبيبة

 

للأسف الفيرس مازال موجود طيب فضلاً اطلعى على هذا الموضوع ونفذى المشاركة رقم 16

 

https://akhawat.islamway.net/forum/index.ph...t&p=3018539

 

بعد ذلك نفذى هذه الخطوات تأكدى من أن استعادة النظام مُعطلة ونفذى هذه الخطوة لقد نفذناها قبل ذلك ونريد ان نعملها مرة اخرى

ثم حملى هذه الاداة وفكِ الضغط عنها ودبل كليك عليها (لازم تركبى أى فلاش عندك اثناء الفحص)

 

https://akhawat.islamway.net/forum/index.ph...t&id=221218

 

ستفتح لكِ صفحة الدوس السوداء اتركيها لحين الانتهاء

 

بعد ذلك حملى هذه الاداة

 

https://akhawat.islamway.net/forum/index.ph...t&id=221221

 

ايضاً فكِ الضغط عنها وشغليها بدبل كليك

 

واتركيها حتى تنتهى وفى الاخير سيظهر لكِ هذه النافذة

 

 

ثم

 

 

بعد ذلك نريد ان نحذف الانتى فيرس الموجود عندك الذى قمتى بتحميله

 

بعد ذلك فضلاً حملى الملف التالي

 

http://oldtimer.geekstogo.com/TFC.exe

 

شغليها حسب الصورة

 

 

سيتم اعادة تشغيل الجهاز اجباريا ،، احفظى اي اعمال تقومين بها

 

اضغطى start وانتظرى حتى انتهاء التنظيف

 

واضغطى موافقة للموافقة على اعادة تشغيل الجهاز

 

بعد اعادة التشغيل اريد فحص بالمالوير على الجهاز + الفلاشات التى عندك

 

واريد تقريره بارك الله فيكِ

 

بعرف إننا طولنا فى الخطوات لكن للأسف هذا الفيرس رخم جداً وللأسف هو منتشر عندك فى جميع البرتيشنات

 

: )

[مسك الجنة 2 0]

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Database version: 5974

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

3/9/2011 10:11:37 PM

mbam-log-2011-03-09 (22-11-37).txt

 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|H:\|)

Objects scanned: 146707

Time elapsed: 4 minute(s), 14 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 2

Registry Values Infected: 0

Registry Data Items Infected: 3

Folders Infected: 0

Files Infected: 4

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Quarantined and deleted successfully.

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

d:\hjihnu.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\gpgl.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

f:\qwey.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

g:\ofbuyw.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

[*زمـــردة* 59]

وعليكم السلام ورحمة الله وبركاته

 

حياكِ الله ياحبيبة

 

لاحظى معى هذه الملفات

 

Files Infected:

d:\hjihnu.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

e:\gpgl.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

f:\qwey.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully.

g:\ofbuyw.pif (Malware.Packer.Gen) -> Quarantined and deleted successfully

 

اكثر من تقرير يكتب إنه حذفها ولكن تظهر فى التقرير التالى

 

وهذا غريب بصراحة

 

طيب مضطرة اخرج الآن فضلاً اريد تقرير هايجاك جديد والله ييسر الحال

 

: )

[مسك الجنة 2 0]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:16:48 PM, on 3/9/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Download Manager\IEMonitor.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\internet explorer\iexplore.exe

C:\DOCUME~1\waleed\LOCALS~1\Temp\unlq.exe

C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

 

--

End of file - 3360 bytes