منتــدى الســالميــه: الحل لإزالة الفيروسات copy , Temp2 , Host , New Folder , Nooh

This is topic الحل لإزالة الفيروسات copy , Temp2 , Host , New Folder , Nooh in forum ســـاحـــــة الكمبيوتر والانترنت at منتــدى الســالميــه.

To visit this topic, use this URL:
http://salmiyaforum.net/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=4;t=009093

مرسلة من Greatromance (رقم العضويه 49702) on :

الســلام عليكم ورحمة الله وبركاته

أخواني وأخواتي الأعضاء في الفترة الأخيرة الكثير يعاني من مشاكل الفيروسات بالرغم من وجود برامج حماية Antivirus والسبب أن هناك فيروسات لايتم إكتشافها أو إزالتها بسهولة وفي هذا الموضوع أضع لكم الحل لمشاكل الفايروسات اللي باتت هي السائدة هذه الأيام و التي سببت الإزعاج للكثيرين.

أولا : فايروس copy.exe
ثانياً : فايروس host .exe
ثالثاً : فايروس temp2.exe
رابعاً : فايروس New Folder
خامساً:فايروس ravmon.exe
سادساً:فايروس antihost.exe
سابعاً : فايروس antihost.exe
ثامناً : فايروس SSVICHOSST.exe
تاسعاً : فايروس sxs.exe
عاشراً: فايروس rose.exe
11 : فايروس نوح الشهير و الذي يقوم بتعطيل Task Manager و Folder options

البرنامج بسيط ما عليك سوى الضغط على Del2.bat
و الإنتظار قليلا ثم إعادة تشغيل الجهــار و إنشاء الله سيصبح كل يء على ما يرام
ان شاءالله وبهذه الطريقة بعض الاوامر تحذف الفيروسات

لتحميـــل البرنامج
http://www.zshare.net/download/5695819f41d1cb

ولي عودة لأشرح بالتفصيل عن كل فيروس وأضراره على الجهاز

دمتم على خير

[ فبراير 20, 2008, 08:11 PM: تم تحرير المشاركه من قبل: Greatromance ]

مرسلة من Fisaal (رقم العضويه 31) on :

شكرا مشر فنا والله يعطيك العافية لكن السؤال هل يمكن الجمع بين هذا البرنامج والنورتن ؟؟

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو Fisaal:
شكرا مشر فنا والله يعطيك العافية لكن السؤال هل يمكن الجمع بين هذا البرنامج والنورتن ؟؟

هذا البرنامج ليس له أي علاقة بالنورتن ولايعتبر برنامج حماية هو فقط أداة تقوم بحذف هذه الفيروسات من الريجيستري والتي يعجز برامج الحماية من ازالتها. لذلك استخدم هذه الأداة عند الضرورة.

وشكرا على مرورك أخوي Fisaal

مرسلة من bo_fansah (رقم العضويه 82301) on :

يعطيك العافيه أخوي غريت رومانس الله لا يحرمنا منك أن شاء الله بس عندي سؤال بسيط؟
لما أحمل البرنامج أمسح البرنامج الحمايه إليه عندي ولا لأ
وشكراااااااا.

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
يعطيك العافيه أخوي غريت رومانس الله لا يحرمنا منك أن شاء الله بس عندي سؤال بسيط؟
لما أحمل البرنامج أمسح البرنامج الحمايه إليه عندي ولا لأ
وشكراااااااا.

أخوي bo_fansah حياك الله ونورت الموضوع

مثل ماذكرت للأخ فيصل أن هالأداة لتعتبر برنامج حماية هي فقط تستخدام لحذف هذه الفيروسات من الريجيستري وتختلف تماما عن برامج الحماية.

لذلك أرجو عدم ازالة برنامج الحماية من جهازك.

مرسلة من bo_fansah (رقم العضويه 82301) on :

أسف على الأزعاج أخوي غريت رومانس بس البرنامج مو شغال نزلته وفكيت الضغط يطلعلي جذي

this program is outdated and will not run.please download the latest version from www.norman.com if you are using a pecial version, please contact norman support to obtain a new fix. [Frown]

مرسلة من Greatromance (رقم العضويه 49702) on :

^
^
الأداة فقط أضغط على Del2.bat

وأحذف الملف الأخر لأنه ليس له أي لزوم.

أرجو مراجعة الصورة المضافة في الموضوع بالأعلى وشكرا

مرسلة من bo_fansah (رقم العضويه 82301) on :

أوووووووووووه أسف أخوي غريت رومانس ما لاحظت والله
علعموم يعطيك العافيه

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو Greatromance:

أولا : فايروس copy.exe
ثانياً : فايروس host .exe
ثالثاً : فايروس temp2.exe
رابعاً : فايروس New Folder
خامساً:فايروس ravmon.exe
سادساً:فايروس antihost.exe
سابعاً : فايروس antihost.exe
ثامناً : فايروس SSVICHOSST.exe
تاسعاً : فايروس sxs.exe
عاشراً: فايروس rose.exe
11 : فايروس نوح الشهير و الذي يقوم بتعطيل Task Manager و Folder options

الفيروس copy.exe

الكثير أصيب بهذا الفيروس علماً أنه يعود بعد الفورمات . لانه ينتقل تلقائياً للمحركات
(D - E ...الخ ) .

وعلامة الإصابة عندما تريد فتح
C أو D
....الخ تخرج الرسالة ولا يمكن فتح
C
إلا من خلال الزر الأيمن من الماوس اختر فتح .

فهو يعطل القراءة التلقائية لمحرك الاقراص السي أو الدي أو الفلاش ميموري .

فيروس Host.exe
يعطل القراءة التلقائية لمحرك الاقراص إضافة إلى إعادة تشغيل الجهاز تلقائيا

فيروس temp.exe

يقفل عليك الجهاز تلقائي فكلما اردت تشغيل جهاز الكمبيوتر تظهر رسالة الفيروس ويتم قفل الجهاز تلقائي وهناك فيروس مشابه له هو فيروس temp2.exe

Copy.exe+Host.exe+Temp.exe هذه الفيروسات تصيب ملف اسمه autorun.inf

--------

ravmon.exe
اسمه Trojan Horese Generic2.UTK
لايختلف عن فيروس Copy.exe فعند فتح الهارديسك لاتجد الخيار فتح Open تجد مكانها رموز وحروف غريبه.

antihost.exe
إسمه TROJAN.AGENT.GEN
وهو عباره عن أداة وهميه على أنها برنامج حمايه ضد التروجان وهي في الأساس فيروس من نوع تروجان وتقوم وتؤدي إلى إختراق الSystem وتغير إعدادات الإتصال بالنت إضافة إلى عطب الجدار الناري Firewall

SSVICHOSST.exe
Trojan.SystemPoser
يقوم بتعطيل الTask manager والريجيستري وتعطيل الFirewall

ولي عوده لأكمل الباقي

[ فبراير 22, 2008, 10:28 PM: تم تحرير المشاركه من قبل: Greatromance ]

مرسلة من / NaYeF / (رقم العضويه 18421) on :

غريت رومانس
في فايروس بتناقل بين الفلاش ميموري ,
بفتحلك فايل من نفس الاسم جوا الفايل ؟
بتعرفو ؟
وازا هالأداة بتقدر تمسحو ؟

وشكراً

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو / NaYeF /:
غريت رومانس
في فايروس بتناقل بين الفلاش ميموري ,
بفتحلك فايل من نفس الاسم جوا الفايل ؟
بتعرفو ؟
وازا هالأداة بتقدر تمسحو ؟

وشكراً

فايروس New Folder
تمسحه وتمسح ألي خلفوه

مرسلة من / NaYeF / (رقم العضويه 18421) on :

رد مقتبس:
المرسل الأصلي هو Greatromance:

رد مقتبس:
المرسل الأصلي هو / NaYeF /:
غريت رومانس
في فايروس بتناقل بين الفلاش ميموري ,
بفتحلك فايل من نفس الاسم جوا الفايل ؟
بتعرفو ؟
وازا هالأداة بتقدر تمسحو ؟

وشكراً
فايروس New Folder
تمسحه وتمسح ألي خلفوه

والله انك بطل [super]

مرسلة من / NaYeF / (رقم العضويه 18421) on :

غريت رومانس

شوف شو طلعلي وانا بثبته

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو / NaYeF /:
غريت رومانس

شوف شو طلعلي وانا بثبته

أرجو قرائة الموضوع

مرسلة من Kimmy* (رقم العضويه 40299) on :

تسلم اخي Greatromance على الموضوع الرائع
وجزاك الله خير

هلأ عم نزله وراح جرب [Smile]

مرسلة من bo_fansah (رقم العضويه 82301) on :

هلا أخوي غريت رومانس
بسئلك سؤال في فايروسات أسمه
object2.exe
play_mp3.exe
psp1res.dll_
حبيت أعرف عنهم شي [Confused]

لأن كل هالفيروسات بكمبيوتري [Frown]

وشكرا...

[ فبراير 22, 2008, 10:28 PM: تم تحرير المشاركه من قبل: bo_fansah ]

مرسلة من Greatromance (رقم العضويه 49702) on :

object2.exe
يأتي من الYahoo messenger
ويقوم بعمل Redirect للصفحة الرئيسية وتبديلها بموقع
Thecoolpics.net
-------أرجو عدم الدخول للموقع----------

طرقة حذفه بإستخدام Hijackthis بعمل Scan وFix للمسار التالي:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thecoolpics.net/

ثم البحث عن object2.exe في الجهاز وحذفه

Adware = play_mp3.exe
http://virusinfo.prevx.com/pxparall.asp?PX5=013d57416b5c8fff870e014a6f03ff00cdb3742e
حذفه بإستخدام أي برنامج Antiadware

psp1res.dll_ [Confused]

؟؟؟؟؟؟؟؟؟؟؟؟
لم أجد أي معلومات وجاري البحث

مرسلة من bo_fansah (رقم العضويه 82301) on :

شكرا أخوي غريت رومانس
تعبتك وياي البرنامج Hijackthis عندي ياه إلحين أسوي scan بعدين شسوي

مرسلة من amir (رقم العضويه 2483) on :

يشباب صفحة السالمية الرئيسية بها تروجن منذ اكثر منذ شهرين واكثر يكتشفه فقط كاسبر سكاى رجاء تبليغ الامر لاصحاب الموقع

مرسلة من bo_fansah (رقم العضويه 82301) on :

هلا أخوي غريت رومانس بحثت عن هلمسار ما لقيته [Frown]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://thecoolpics.net/
بس أنا اليوم تقريبا من قبل 3 ساعات سويت سكان بال avg وصاد الفايروس object2.exe وحاطه إلحين بالحجر الصحي أهو و play_mp3.exe بس هلأثنين بالحجر الصحي أما الثالث ما قدر يحطه بالحجر الصحي بس كتبولي heal
هذا result مال avg
psp1res.dll_
result:virus found psw.banker
status:infected

[ فبراير 22, 2008, 11:45 PM: تم تحرير المشاركه من قبل: bo_fansah ]

مرسلة من bo_fansah (رقم العضويه 82301) on :

أخوي غريت رومانس ماعندك لايسن كي للبرنامج prevx csi
لان وجد 4 فيروسات طلبت منه أن يعمل heal قالي مطلوب لايسن كي للبرنامج

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
أخوي غريت رومانس ماعندك لايسن كي للبرنامج prevx csi
لان وجد 4 فيروسات طلبت منه أن يعمل heal قالي مطلوب لايسن كي للبرنامج

لأ للأسف لكن بإمكانك حذف الفيروس لأنه prevx يذكر لك مكان الفيروس وإسم الملف. فقط أبحث عن مسار الفيروس وأحذفه من الSafe mode أو بإستخدام Unlocker

مرسلة من Greatromance (رقم العضويه 49702) on :

أعمل بscan Hijackthis
وأرسل التقرير هنا.

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو amir:
يشباب صفحة السالمية الرئيسية بها تروجن منذ اكثر منذ شهرين واكثر يكتشفه فقط كاسبر سكاى رجاء تبليغ الامر لاصحاب الموقع

لم أدخل على الصفحة الرئيسية منذ فتره طويله والأن دخلت وأعتقد أنه الوضع طبيعي فقط إعلانات.

مرسلة من bo_fansah (رقم العضويه 82301) on :

هلا أخوي غريت رومانس أشلون أرسل التقارير

مرسلة من Greatromance (رقم العضويه 49702) on :

أعمل scan and save a logfile

وبعد حفظ text file أرسله هنا

-----------
مثال: http://forum.salmiya.net/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=4;t=009050;p=2

مرسلة من bo_fansah (رقم العضويه 82301) on :

تفضل أخوي غريت رومانس

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:18 ص, on 23/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
D:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\Program Files\MTC Kuwait\MTC Optimization Client\bmoc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe
C:\WINDOWS\system32\PuXpMan2.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
D:\Program Files\MTC Kuwait\MTC Optimization Client\bmctl.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
D:\Program Files\MTC USB Connect\MTC USB Connect\Mobile Connect.exe
C:\PROGRA~1\ASHAMPOO\AS10AA~1\bin\DEFRAG~3.EXE
C:\PROGRA~1\ASHAMPOO\AS10AA~1\bin\defragActivityMonitor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWare.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\a4eec31189780c76a955690dc00fbe64\update\update.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.salmiya.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - d:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\system32\gzmrt.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nsx77.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] D:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [{07ED51EC-C868-498C-96A1-4FC3619194BB}] "d:\Program Files\MTC Kuwait\MTC Optimization Client\bmoc" -d
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PuXpTwks.exe /TWEAK
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [DefragTaskBar] "C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan2.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: PrevxCSI.lnk = ?
O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C128332-50EE-4170-8117-681007FD0FE3}: NameServer = 10.40.155.34 10.40.155.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C128332-50EE-4170-8117-681007FD0FE3}: NameServer = 10.40.155.34 10.40.155.33
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AshampooDefragService - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8697 bytes

مرسلة من Greatromance (رقم العضويه 49702) on :

أولا عندك ماشاء الله Running processes كثير ويفضل التخفيف من الAuto run

-Start
-Run
وأكتب التالي: msconfig
وعند ظهور نافذه أدخل على Startup
وأعمل Disable all (حذف إشارة الصح من جميع الخيارات عدا برامج الحماية) وأعد تشغيل الجهاز

فيروس:
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\SoftwareDistribution\Download\a4eec31189780c76a955690dc00fbe64\update\update.exe

ولي عودة بعد فحص بقية التقرير

مرسلة من Greatromance (رقم العضويه 49702) on :

أحذف
C:\Program Files\Bonjour

وأعمل scan مره أخري بإستخدام Hijackthis وضع إشارة أمام المسارات التاليه:
O2 - BHO: BrowserCmp - {1D8282E6-BC4F-469B-AAED-7E4FF077AD93} - C:\WINDOWS\system32\iebrowserc.dll (file missing)

O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\system32\gzmrt.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: ads_optimizer - {9C8A568E-4201-478a-8536-526CF371D2E2} - C:\WINDOWS\system32\nsx77.dll

واضغط على Fix Checked

وأعد تشغيل الجهاز.

مرسلة من Greatromance (رقم العضويه 49702) on :

بعد تشغيل الجهاز أعمل Scan بHijackthis وأرسل تقرير جديد.

مرسلة من bo_fansah (رقم العضويه 82301) on :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:59:58 ص, on 23/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ASHAMPOO\AS10AA~1\bin\DEFRAG~3.EXE
C:\PROGRA~1\ASHAMPOO\AS10AA~1\bin\defragActivityMonitor.exe
D:\Program Files\MTC Kuwait\MTC Optimization Client\bmoc.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
D:\Program Files\MTC Kuwait\MTC Optimization Client\bmctl.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
d:\Program Files\MTC USB Connect\MTC USB Connect\Mobile Connect.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.salmiya.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - d:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [{07ED51EC-C868-498C-96A1-4FC3619194BB}] "d:\Program Files\MTC Kuwait\MTC Optimization Client\bmoc" -d
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: PrevxCSI.lnk = ?
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C128332-50EE-4170-8117-681007FD0FE3}: NameServer = 10.40.155.34 10.40.155.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C128332-50EE-4170-8117-681007FD0FE3}: NameServer = 10.40.155.34 10.40.155.33
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AshampooDefragService - - C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6473 bytes

مرسلة من bo_fansah (رقم العضويه 82301) on :

اخوي غريت رومانس بالنسبه لهذا الفايروس
ماينمسح
C:\Program Files\Bonjour\mDNSResponder.exe

و بالنسبه لهذا فهو غير موجود
C:\WINDOWS\SoftwareDistribution\Download\a4eec311
89780c76a955690dc00fbe64\update\update.exe

مرسلة من Greatromance (رقم العضويه 49702) on :

أحذفه من الSafe mode أو بإستخدام Unlocker

بعد تثبيت Unlocker تضغط بيمين الماوس على الملف Unlocker ثم أضغط unlock all أو Kill all process
وأضغط على Delete

مرسلة من Greatromance (رقم العضويه 49702) on :

وحمل هذه الأداةLSPFix
http://www.cexx.org/LSPFix.exe

http://www.cexx.org/lspfix.htm

بعد التحميل أضغط عليها مرتين

مرسلة من bo_fansah (رقم العضويه 82301) on :

رد مقتبس:
المرسل الأصلي هو Greatromance:
وحمل هذه الأداةLSPFix
http://www.cexx.org/LSPFix.exe

http://www.cexx.org/lspfix.htm

بعد التحميل أضغط عليها مرتين

هلا أخوي مشكوووووووووووور والله أني تعبتك وياي
وعلى راسي والله
بس أخوي غريت رومانس بعد ما سوي أكسراكت هير يطلعلي ملفات وهما ملف مضغوط أي واحد أطق عليه
ويعطيك ألف عافيه...

[ فبراير 23, 2008, 11:14 AM: تم تحرير المشاركه من قبل: bo_fansah ]

مرسلة من Greatromance (رقم العضويه 49702) on :

هل جربت الرابطين؟

حاول بالرابط التالي ونزل هالأداة LSPFix

مرسلة من bo_fansah (رقم العضويه 82301) on :

أوكي نزل عندي البرنامج
بس أخوي غريت رومانس بعد ما سوي أكسراكت هير يطلعلي ملفات وهما ملف مضغوط أي واحد أطق عليه
ويعطيك ألف عافيه...

مرسلة من bo_fansah (رقم العضويه 82301) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
أوكي نزل عندي البرنامج
بس أخوي غريت رومانس بعد ما سوي أكسراكت هير يطلعلي ملفات وبعد ملف مضغوط أي واحد أطق عليه
ويعطيك ألف عافيه...

مرسلة من Greatromance (رقم العضويه 49702) on :

مرسلة من bo_fansah (رقم العضويه 82301) on :

شسوي بعدين طقيت عليها

مرسلة من bo_fansah (رقم العضويه 82301) on :

طلعلي أسامي مادري فيروسات ولا لأ حطيتهم
remove
أطق finish ولا لأ

مرسلة من Greatromance (رقم العضويه 49702) on :

بعد الضغط على LSPFix
أعمل Remove
إذا وجدت هذا الملف في المربع الأيسر: bmnet.dll

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
طلعلي أسامي مادري فيروسات ولا لأ حطيتهم
remove
أطق finish ولا لأ

لأ فقط أحذف bmnet.dll

مرسلة من bo_fansah (رقم العضويه 82301) on :

وفي ثلاث ملفات غيرهم أسمهم
mswsock.dll
winrnr.dll
rsvpsp.dll
كانوا على اليسار
أطق remove ولا لأ

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
وفي ثلاث ملفات غيرهم أسمهم
mswsock.dll
winrnr.dll
rsvpsp.dll
كانوا على اليسار
أطق remove ولا لأ

لأ لو حذفتهم مصيبة كبرى فقط أحذف الملف الذي ذكرته لك

مرسلة من bo_fansah (رقم العضويه 82301) on :

أشوه ......
مشكووووووووووووووووووووور أخوي غريت رومانس والله أني طولته معاك
خليتك تقرى تقريري كله شطوووووله
والله لا يحرمنا منك
وأنت على الراس والله
ما شاء الله عليك عندك خبره بهلشغلات علمنا شدعوووه [Smile]

مرسلة من Greatromance (رقم العضويه 49702) on :

باقي في جهازك:
C:\Program Files\Bonjour\mDNSResponder.exe

لأبد من حذفه وتأكد أمن إزالته

مرسلة من Greatromance (رقم العضويه 49702) on :

رد مقتبس:
المرسل الأصلي هو bo_fansah:
أشوه ......
مشكووووووووووووووووووووور أخوي غريت رومانس والله أني طولته معاك
خليتك تقرى تقريري كله شطوووووله
والله لا يحرمنا منك
وأنت على الراس والله
ما شاء الله عليك عندك خبره بهلشغلات علمنا شدعوووه

http://www.castlecops.com/HijackThis.html
مع الوقت وكثر القرائة ومعرفة كل أنواع وأسماء الفيروسات up todate

مرسلة من bo_fansah (رقم العضويه 82301) on :

بس أنا حذفته أخوي غريت رومانس من برنامج unlocker
قالي لما تشغل الكمبيوتر مرة ثانيه راح تقدر تمسحه طفيت الكمبيوتر ورديت شغلته ومسحته جذي أوكي.

مرسلة من Greatromance (رقم العضويه 49702) on :

طالما حذفته خلاص والأن جهازك ok وإذا لاحظت أنه في جهازك أي شئ غريب أستخدم Hijackthis وأرسل report

وأتمنى لك التوفيق.

مرسلة من bo_fansah (رقم العضويه 82301) on :

مشكوووووور أخوي غريت رومانس والله يعطيك ألف عافيه

مرسلة من علوووش (رقم العضويه 17300) on :

رد مقتبس:
المرسل الأصلي هو amir:
يشباب صفحة السالمية الرئيسية بها تروجن منذ اكثر منذ شهرين واكثر يكتشفه فقط كاسبر سكاى رجاء تبليغ الامر لاصحاب الموقع

مرة صارت معي دشيت الا وصرخ الكاسبر [Big Grin]

مرسلة من meroo (رقم العضويه 85173) on :

جزاك الله خيرا
بس كان عندى مشكله ياريت اجد حل عند حضرتكم
انا كنت قفل مجلد عندى بطريقه النوت باد وعمل ملف اسمه locker
وحافظ فيه الملفات المهمه بس للأسف بعد اصابت الكمبيوتر بفيروس نوح
بتضهر ليه الرساله دى كل ما احاول افتح locker
The command prompt has been disabled by your administrator
Press any key to continue….
وبتظهر كمان اما بضغط على Del 2 الموجوده فى البرنامج اللى حضرتك وضعته لتخلص من فيروس نوح
اتمنى ان اجد عند حضرتكم طريقه لفتح المجلد او استخراج الملفات المهمه الموجوده بداخله

بوركتم

مرسلة من Greatromance © (رقم العضويه 49702) on :

ثبت هذه الاداة RRT وضع اشارة امام ماهو باللون الاحمر واضغط على Remove

http://www.softpedia.com/progDownload/RRT-Remove-Ristrictions-Tool-Download-68926.html

http://www.download.com/RRT-With-Removable-Media-Malware-Defender/3640-2239_4-10653097.html

مرسلة من meroo (رقم العضويه 85173) on :

جزاك الله خيرا أخى الكريمGreatromance

مش عارف بس اشكرك ازاى

او اعبر لك عن مدى فرحتى

بس ممكن اذكرك بحديث النبى صلى الله عليه وسلم

من كان حاجه اخيه كان الله فى حاجته

جزاك الله خيرا

مرسلة من روح المحبـــة (رقم العضويه 12395) on :

غريت

شكرا بس حملت البرنامج وما رضى يفتح عندي ليشششششششششش [Frown]

رد مقتبس:
المرسل الأصلي هو Greatromance:
^
^
الأداة فقط أضغط على Del2.bat

وأحذف الملف الأخر لأنه ليس له أي لزوم.

أرجو مراجعة الصورة المضافة في الموضوع بالأعلى وشكرا

مرسلة من روح المحبـــة (رقم العضويه 12395) on :

^
^
^
غريت هالجواب لي ولا لا ؟

UBB.classic™ 6.7.1