This is topic كمبيوتري فيه فايروس in forum ســـاحـــــة الكمبيوتر والانترنت at منتــدى الســالميــه.


To visit this topic, use this URL:
http://salmiyaforum.net/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=4;t=009712
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
السلام عليكم ورحمة الله وبركاته

[Frown] [Frown] [help] [help] بليززز اخوي غريت رومانس ساعدني او اي احد من الخبراء [Frown] [Frown] [help] [help]

كنت على المسنجر قاعد اكلم صاحبي طلعلي رابط قتله انته دازه هلرابط يقوووولي لا والله ما دزيته انا شكيت بالموضوع قلت ادش اشوف شنو هذا

هذا الرابط

foto ha ha ? httpwww.hi5photos.orgimages.php=aw25@hotmail.com
[Confused] [Confused]

طبعا هذا ايميلي قلت شلووون طلعلي

طبعا انا الغبي [nut]

طقيت على الرابط ثم ظهرلي تحميل طلعت صوره بس صيغته (exe) [thinking] [thinking]
شكيت بالموضوع [thinking]

قلت اسويله استخراج الملفات

سويت له استخراج الملفات طلعلي ملف فتحته تم طلعلي شكل رساله مكتوووب عليها burimiii

بعدين علق الكمبيوتر ما قام يشبك ولا يبطل مسنجر والفايروول يصيده داخل ملفات الوندز وينبهني منه

بليز احد يساعدني والحين اعمل تقرير واحطه hijack this

وشكرا مقدما

 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
هذا التقرير بال hijack this


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:11:16 ص, on 27/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
D:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\fxstaller.exe
C:\WINDOWS\system32\spoolsvc.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.salmiya.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - d:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "D:\Program Files\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [D-Link AirPlus G] D:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UIWatcher] D:\Program Files\Ashampoo\Ashampoo UnInstaller Platinum 2\UIWatcher.exe
O4 - HKCU\..\Run: [IDMan] D:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Advanced SystemCare 3] "D:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: PalTalk.lnk = C:\Program Files\Paltalk Messenger\paltalk.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - D:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - D:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - D:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: B08E62E2 - Unknown owner - C:\WINDOWS\system32\A0B470C2.EXE (file missing)
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7745 bytes

 
مرسلة من Greatromance © (رقم العضويه 49702) on :
 
مكان الفيروس:
C:\WINDOWS\fxstaller.exe
C:\WINDOWS\system32\spoolsvc.exe

يجب حذفهم إما بإستخدام Hijackthis أو برنامج Unlocker


Fix+

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spoolsvc.exe

O23 - Service: B08E62E2 - Unknown owner - C:\WINDOWS\system32\A0B470C2.EXE (file missing)
 
مرسلة من «[.نجـــ 5 ـــوم.]» (رقم العضويه 12532) on :
 
جريت
هم انا بعد عندي فايروس
بس استخدمت مؤخرا Norton anti vi.2009
لكن صاير الكومبيوتر كارثة و بطي اكثر من اول
رغم انه لاقى البرنامج 3 فيروسات و تم ازالتها
 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
مشكوووور اخوي غريت رومانس الوصلات
C:\WINDOWS\fxstaller.exe غير موجوده
C:\WINDOWS\system32\spoolsvc.exe تحتاج الى برنامج Unlocker

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spoolsvc.exe

O23 - Service: B08E62E2 - Unknown owner - C:\WINDOWS\system32\A0B470C2.EXE (file missing)

fix ok
 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
اذا ممكن برنامج Unlocker
هذه الوصله C:\WINDOWS\fxstaller.exe غير موجوده

fix checked


O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\system32\spoolsvc.exe

O23 - Service: B08E62E2 - Unknown owner - C:\WINDOWS\system32\A0B470C2.EXE (file missing

fix checked


[ يناير 27, 2009, 11:49 PM: تم تحرير المشاركه من قبل: bo_fansah ]
 
مرسلة من Greatromance © (رقم العضويه 49702) on :
 
الوصلة غير موجودة لأنه مخفي ويجب إظهار جميع الملفات المخفية ولإظهارها يجب عليك تثبيت الأدوات من الموضوع التالي:
http://forum.salmiya.net/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=4;t=009703
 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
يعطيك العافيه اخوي غريت رومانس ما عليه تعبتك معاي
هذه الوصله C:\WINDOWS\fxstaller.exe غير موجوده
عملت نفس الشرح
عملت بال rrt اشرت على بالحمر ثم remove دخلت على البرنامج مره اخره فيه system files/folder ظاهره بالاحمر اعمله remove ولا لأ
 
مرسلة من Greatromance © (رقم العضويه 49702) on :
 
أعمل remove لأي خيار فيه أحمر

وإذا لم تجد الفيروس إحتمال يكون على مسمى أخر!

ثبت البرنامج التالي وأعمل complete scan
http://forum.salmiya.net/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=4;t=009324;p=1#000000

وأحذف جميع مايظهر في results
 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
يعطيك العافيه اخوي غريت رومانس
وجاري عمل ما طلبته مني....
 
مرسلة من bo_fansah (رقم العضويه 82301) on :
 
مشكوووووور يعطيك مليووووووووووووووووووون العافيه اخوي غريت رومانس فعلا انت مبدع
وانا اسف اني تعبتك معاي
والحمدالله الكمبيوتر اوكي الحين
وشكرا مره اخرى
 


Powered by Infopop Corporation
UBB.classic™ 6.7.1