السلام عليكم ورحمة الله وبركاته

جهازي اصيب بالفيروس الصيني منذ 5 شهور وعملت فورمات للجهاز كله لكن الغريب ان بعد الفورمات والجهاز فاضي تماما يظهر الفيروس في شكل اعلان طائر البطريق باللغه الصينيه في صفحة النت من اين اتى لا اعلم المهم عملت فورمات تاني واختفى فتره وظهرلي هذه الايام هذا الفيروس اللعين يعطل الانتي فيروس ولا يسمح بتسطيب اي انتي فيروس ويفتح مواقع صينيه لوحده وينتشر في الجهاز كله ويحرق المازر والهارد بالله عليكم قولولي اعمل ايه انا نفسيتي تعبت جدا ومش عارفه بيجيلي منين وازاي ولكم مني جزيل الشكر

جربي
http://rapidshare.com/files/143334235/Zyzoom_china_killer_.rar
حمل البرنامج التالي وافحص جهازك

حمل هذي الأداة:
http://malwarebytes.gt500.org/mbam-setup.exe
أو
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html
بعد الانتهاء من التنزيل تأكد ان كل شيء كما هو موضح في الصورة:
http://img530.imageshack.us/img530/8108/26005786fi2.jpg

بتطلع لك رسالة اختار ok
بعدها بيقوم بعمل تحديث....انتظر عليه
بعد التحديث بيطلع لك البرنامج....خلي كل شي على ما هو عليه...واضغط scan
http://img525.imageshack.us/img525/5810/24797911ku8.jpg

الآن تبدأ عملية الفحص (حتى جهازي فيه 3 فيروسات....باب النجار مخلع:D )
بعد الانتهاء بتطلع لك رسالة اضغط ok
وفي نفس الصفحة اضغط show results
حط صح على كل شي واختار remove selected
بعدها بيطلب منك تعي\ تشغيل الجهاز اضغط yes
بعد إعادة التشغيل
شغل البرنامج
من فوق روح على logs
اضغط مرتين على التقرير (يبدأ ب mbam-logxxxxxxxxx)
انسخ كل ما في التقرير والصقه في ردك القادم

ثم
حمل الأداة التالية:
http://download.hijackthis.eu/HJTInstall.exe
شغل الأداة
اختار Do a system scan and save log
بعد الانتهاء بيطلع لك تقرير
انسخه كاملا والصقه في ردك القادم

ممكن يكون الفيروس على فلاش ميموري ...

فكل ما تسوي فورمات للجهاز تحط الفلاش بعد الفورمات فيصيب الجهاز ...

دائماً اعمل فحص للجهاز وجميع الفلاشات تكون راكبه بالجهاز حتى يتم القضاء على الفيروس نهائياً ...

جرب هذه الأداة ...
http://dnl-us6.kaspersky-labs.com/devbuilds/AVPTool

افحص الجهاز على السيف مود ...

هذا والله اعلم ..

ولله اني ما سبق وسمعت فايرس صيني :confused:
بس الله يعينكم عليه :p
:) :) :)
:)

Malwarebytes' Anti-Malware 1.30
Database version: 1340
Windows 5.1.2600 Service Pack 2
30/10/2008 11:28:21 م
mbam-log-2008-10-30 (23-28-21).txt
Scan type: Full Scan (C:\|D:\|E:\|F:\|G:\|)
Objects scanned: 89017
Time elapsed: 1 hour(s), 47 minute(s), 26 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)


بالرغم من عدم ظهور اي فيروس الا ان الفيروس لازال يظهر على صفحات النت وهذه هي الصوره

http://upload.a2a.cc//uploads/images/photo-e6c0fc3f98.bmp[/URL]



وده تقرير الجهاز زي ما حضرتك طلبت

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:26:09 ص, on 31/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\DAP\DAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [URL]http://go.microsoft.com/fwlink/?LinkId=69157 (http://upload.a2a.cc//view.php?file=e6c0fc3f98)
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
--
End of file - 5844 bytes
وياريت بجد تلاقولي حل وجزاكم الله كل خير

اخي اعتقد انة الفيروس الصيني ادخل حمل هذة الاداة

http://rapidshare.com/files/103195477/Zyzoom_china_killer_.com


عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية
ويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز

من برنامج ال HijackThisاحذفي القيم:
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90 (http://www.hijackthis.de/whois.php),66.11.234.91 (http://www.hijackthis.de/whois.php)
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90 (http://www.hijackthis.de/whois.php),66.11.234.91 (http://www.hijackthis.de/whois.php)
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90 (http://www.hijackthis.de/whois.php),66.11.234.91 (http://www.hijackthis.de/whois.php)

طريقة الحذف: من نفس برنامج الHijackThis ضعي علامة صح أمام القيم اللي بتحذفيها ثم اضغطي Fix Checked
بتطلع لك رسالة اضغطي ok

بارك الله فيك اخي expert87
مراقب بقسم الهارد وير والصيانة
دوما سابق في عمل الخير

وعليكم السلام

أختى الكريمة راجعي المواضيع التالية وذلك بعد إذن الخبير

الفايروس الصيني الخبيث ( V irus.W in32.X o r e r ) تحت المجهر (http://www.absba.org/showthread.php?t=604872)

تخلص من الفيروس الصينى وأتباعة الأن.........(100%) (http://www.absba.org/showthread.php?t=679337)

ياجماعه والله جربت كل هذه المحاولات مفيش فايده لازال الاعلان يظهرلي على صفحات النت انا مش عارفه فين العيب معلش انا تعبتكم معايا بس نفسي الاقي حل

اختي اعتقد لربما الفيروس يستعمل السيستم ريستور للعودة بعد عمل ريستارت للجهاز لذلك اعيد اتعمال الاداة التي وضعتها لك بعد اغلاق خاصبة السيستم ريستور مؤقتا

ارفعي تقرير هايجاك جديد
حمل الأداة التالية:
http://download.hijackthis.eu/HJTInstall.exe
شغل الأداة
اختار Do a system scan and save log
بعد الانتهاء بيطلع لك تقرير
انسخه كاملا والصقه في ردك القادم

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:26:18 م, on 01/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\DAP\DAP.EXE
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
--
End of file - 5282 bytes
اخي ازاي اغلق السيستم ريستور

اختي التقرير نظيف غريب بالنسبة للسيستم ريستور هل جربتي تستخدمية بالعودة لتاريخ سابق للاصابة اذا جربت وفشل اذا ممكن ايقافة مؤقتا والفحص لان ايقافة سيحذف كل نقاط الاستعادة المخزنة علية

http://img220.imageshack.us/img220/2614/31871094fp3.jpg



http://img383.imageshack.us/img383/7404/65270954ut2.jpg


ايضا ادخلي افحصي بهذا البرنامج جيد ضد البرامج الدعائية

http://www.absba.org/vb/showthread.php?t=708353

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:06:34 ص, on 03/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\Program Files\DAP\DAP.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\SURFIN~1\ULTRAA~1\AdKiller.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Ultra Ad Killer - {021612C0-EBB5-4568-A02C-BF6751717585} - C:\WINDOWS\system32\adkiller.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe
--
End of file - 5406 bytes
الفيروس شويه يظهر وشويه يختفي هو مالهوش حل الفيروس االلعين ده

اين انتم يا مشاغبين ساعدوني

وهذا الرابط للبطريق الصيني


http://www.absba.org/vb/showthread.php?t=604872

السلام عليكم بعد اذن الاخوان اعملي التالي

حملي هالملف ووشغليه

http://www.zyzoom.net/soft/security/virus_removal/Zyzoom_china_killer_.com

طريقة الاستخدام ,,
عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية

ثم اعملي التالي


عطل جميع برامج الحماية ,,
حمل هذه الاداة واحفظها على سطح المكتب
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes

انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم

يجب ان تكون جميع النوافذ مغلقة تماما
لا تلمس الماوس نهائيا عند الاستخدام
--------------------------------------------

( 2 )

واعمل تقرير للهايجاك
http://www.albronz.net/me/HijackThis/HijackThis2.exe

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم
_

شكرا على اهتمام حضرتك اخ boob77

ComboFix 08-11-03.03 - huda 11/04/2008 3:02:27.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.272 [GMT 2:00]
Running from: D:\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\windows\system32\com\lsass.exe
c:\windows\system32\com\netcfg.000
c:\windows\system32\com\netcfg.dll
c:\windows\system32\com\smss.exe
c:\windows\system32\dao350.dll
c:\windows\system32\dnsq.dll
c:\windows\system32\UltraAdkiller.dll
.
((((((((((((((((((((((((( Files Created from 2008-10-04 to 2008-11-04 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-11-04 01:00 213,024 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-04 01:00 2,856 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-04 00:13 967,712 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-04 00:13 11,784 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-03 23:40 --------- d-----w c:\program files\DAP
2008-11-03 23:37 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-03 23:18 --------- dc-h--w c:\documents and settings\All Users\Application Data\~0
2008-11-03 23:16 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-03 20:48 --------- d-----w c:\program files\microsoft frontpage
2008-11-03 20:26 96,976 ----a-w c:\windows\system32\drivers\klin.dat
2008-11-03 20:26 87,855 ----a-w c:\windows\system32\drivers\klick.dat
2008-11-03 18:53 --------- d-----w c:\documents and settings\huda\Application Data\Nuotex
2008-11-03 18:50 --------- d-----w c:\program files\BuddyCheck
2008-11-03 00:43 --------- d-----w c:\documents and settings\huda\Application Data\Uniblue
2008-11-02 21:54 --------- d-----w c:\documents and settings\huda\Application Data\Skype
2008-11-02 19:59 --------- d-----w c:\program files\Ectaco
2008-11-02 19:29 --------- d-----w c:\program files\DSL Speed
2008-11-02 18:33 720,896 ----a-w c:\windows\iun6002ev.exe
2008-11-02 18:33 --------- d-----w c:\program files\Quran Kareem
2008-11-02 18:02 --------- d-----w c:\program files\المصحف المعلم للأطفال
2008-11-02 17:52 --------- d-----w c:\documents and settings\huda\Application Data\skypePM
2008-11-01 17:14 --------- d-----w c:\program files\Kaspersky Lab
2008-11-01 16:58 --------- d-----w c:\program files\Alfa Autorun Killer 2
2008-10-31 21:38 --------- d-----w c:\documents and settings\All Users\Application Data\Sandlot Games
2008-10-31 21:37 --------- d-----w c:\documents and settings\All Users\Application Data\Trymedia
2008-10-31 16:15 92,672 ----a-w c:\windows\system32\KillBox.exe
2008-10-31 13:26 --------- d-----w c:\program files\Rising
2008-10-31 13:23 --------- d-----w c:\documents and settings\All Users\Application Data\Rising
2008-10-31 13:22 1,060,864 ----a-w c:\windows\system32\mfc71.dll
2008-10-30 22:25 --------- d-----w c:\program files\Trend Micro
2008-10-30 17:42 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-10-30 17:42 --------- d-----w c:\documents and settings\huda\Application Data\Malwarebytes
2008-10-30 17:42 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-10-29 23:21 --------- d-----w c:\program files\Common Files\delet
2008-10-28 15:07 --------- d-----w c:\documents and settings\All Users\Application Data\Yahoo!
2008-10-28 14:51 --------- d-----w c:\documents and settings\huda\Application Data\Talkback
2008-10-28 14:35 --------- dcsh--w c:\program files\Common Files\WindowsLiveInstaller
2008-10-28 14:18 --------- d-----w c:\program files\Common Files\xing shared
2008-10-28 14:17 --------- d-----w c:\program files\Common Files\Real
2008-10-28 14:16 499,712 ----a-w c:\windows\system32\msvcp71.dll
2008-10-28 14:16 348,160 ----a-w c:\windows\system32\msvcr71.dll
2008-10-28 14:16 --------- d-----w c:\program files\Real
2008-10-28 14:10 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-10-28 14:09 --------- d-----w c:\program files\Yahoo!
2008-10-28 13:58 --------- d-----w c:\documents and settings\All Users\Application Data\Winamp Toolbar
2008-10-28 13:53 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-10-28 13:36 50,688 ----a-w c:\windows\system32\wbhelp2.dll
2008-10-28 13:36 --------- d-----w c:\documents and settings\All Users\Application Data\SpeedBit
2008-10-28 12:40 --------- d-----w c:\program files\Winamp
2008-10-28 12:12 155,995 ----a-w c:\windows\java\Packages\6VRJNPR7.ZIP
2008-10-28 12:11 --------- d-----w c:\program files\K-Lite Codec Pack
2008-10-28 12:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-28 12:10 --------- d-----w c:\program files\Skype
2008-10-28 12:10 --------- d-----w c:\program files\Google
2008-10-28 12:10 --------- d-----w c:\program files\Common Files\Skype
2008-10-28 12:10 --------- d-----w c:\documents and settings\huda\Application Data\Winamp
2008-10-28 12:10 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
2008-10-28 11:50 --------- d-----w c:\program files\Microsoft ActiveSync
2008-10-28 11:26 --------- d-----w c:\program files\Common Files\Adobe
2008-10-28 11:01 --------- d-----w c:\program files\Golden Al-Wafi Translator
2008-10-28 11:00 73,216 ----a-w c:\windows\ST6UNST.EXE
2008-10-28 11:00 172,032 ------w c:\windows\Setup1.exe
2008-10-28 10:53 --------- d-----w c:\program files\Ahead
2008-10-28 10:52 --------- d-----w c:\program files\Common Files\Nero
2008-10-28 10:51 --------- d-----w c:\program files\Common Files\Ahead
2008-10-28 10:51 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
2008-10-28 10:45 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-28 10:45 --------- d-----w c:\program files\Realtek Sound Manager
2008-10-28 10:45 --------- d-----w c:\program files\Realtek AC97
2008-10-28 10:45 --------- d-----w c:\program files\AvRack
2008-10-28 10:44 --------- d-----w c:\program files\Intel
2008-10-28 10:44 --------- d-----w c:\program files\Common Files\InstallShield
2008-10-28 10:40 4,716 ----a-w c:\windows\gdrv.sys
2008-10-22 14:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 14:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-09-15 12:17 1,846,912 ----a-w c:\windows\system32\win32k.sys
2008-08-20 05:33 667,648 ----a-w c:\windows\system32\wininet.dll
2008-08-14 09:57 2,185,984 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 09:18 2,062,976 ----a-w c:\windows\system32\ntkrnlpa.exe
.
------- Sigcheck -------
06/14/2006 10:02 AM 1616896 12ef207521f60afec24836f68d89d61d c:\windows\explorer.exe
04/14/2008 02:12 AM 1033728 12896823fb95bfb3dc9b46bcaedc9923 c:\windows\SoftwareDistribution\Download\cf8ec753e 88561d2ddb53e183dc05c3e\explorer.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe" [10/28/2008 02:10 PM 171448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [04/25/2008 06:21 PM 201992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [08/04/2004 01:56 AM 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoUserNameInStartMenu"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"vidc.DIV3"= DIVXc32.dll
"vidc.DIV4"= DIVXc32f.dll
"msacm.divxa32"= DivXa32.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 05/11/2007 03:06 AM 40048 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 08/04/2004 01:56 AM 15360 c:\windows\system32\ctfmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
-ra------ 10/08/2004 02:27 AM 126976 c:\windows\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
-ra------ 10/08/2004 02:31 AM 155648 c:\windows\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 07/09/2001 11:50 AM 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRONoMgr.exe]
--a------ 03/11/2003 04:24 PM 86016 c:\program files\Intel\NCS\PROSet\PRONoMgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 10/28/2008 02:10 PM 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 10/28/2008 04:16 PM 185872 c:\program files\Common Files\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 08/04/2008 01:02 AM 36352 c:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 08/30/2007 05:43 PM 4670704 c:\program files\Yahoo!\Messenger\YahooMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 12/14/2005 06:06 PM 577536 c:\windows\soundman.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 7.0.1.321\\English\\setup.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"c:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [01/29/2008 06:29 PM 32784]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [03/13/2008 07:02 PM 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [03/25/2008 08:07 PM 24592]
NETSVCS REQUIRES REPAIRS - current entries shown
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Messenger
Netman
Nla
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
WmdmPmSN
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
.
- - - - ORPHANS REMOVED - - - -
MSConfigStartUp-DownloadAccelerator - c:\program files\DAP\DAP.EXE
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe
MSConfigStartUp-SpeedBitVideoAccelerator - c:\program files\SpeedBit Video Accelerator\VideoAccelerator.exe
MSConfigStartUp-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - c:\documents and settings\huda\Application Data\Mozilla\Firefox\Profiles\wxkxckzh.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:en-US:official
.
************************************************** ************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 03:13:46
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...

************************************************** ************************
.
Completion time: 11/04/2008 3:16:08
ComboFix-quarantined-files.txt 2008-11-04 01:16:04
Pre-Run: 5,052,833,792 bytes free
Post-Run: 5,048,823,808 bytes free
241 --- E O F --- 2008-11-03 01:09:29








وده تقرير الهايجاك


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:30:44 ص, on 04/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\G oogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O17 - HKLM\System\CS2\Services\Tcpip\..\{2E879E23-908C-407B-8234-3514A679E3EE}: NameServer = 66.11.234.90,66.11.234.91
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
--
End of file - 4774 bytes

هلا اختي التقرير الاول حذف كم ملف

الثاني نظيف فقط من ازالة واضافة البرامج احذفي التالي

Toolbar: &Google

ثم نظيف الجهاز بهالاداة


http://www.atribune.org/ccount/click.php?id=1

http://www.zyzoom.net/vb_up/upload/wh_15149054.png


ثم من تشغيل اكتب cleanmgr ستظهر لك نافذة فيهاا القرص c

اضغط موافق ستظهر لك نافذة حط صح في كل المربعات واضغط موافق

http://www.zyzoom1.com//uploads/images/zyzoom-f18068266b.png (http://www.zyzoom1.com//uploads/images/zyzoom-f18068266b.png)

انتظر حتى تخلص العملية تستغرق ربع ساعة او اكثر حسب الملفات

ثم من تشغيل اكتب msconfig ثم بدا التشغيل وشيلي الصح من كل البرامج ما عداا الكاسبر

[AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

اعيدي التشغيل بعدهاا اعملي تحديث للكاسبر ثم فحص

وان شاء الله خير

جزاك الله كل خير اخ boob77 ربنا يكرمك يارب

اخيرا تخلصت من هذا الفيروس اللعين كان كابوس

بس كان ليا طلب عند حضرتك انا مشتركه في نت دي اس ال من سايبر وكنت عايزه اقفل جهازي بباص ورد من الشبكه عشان ما يدخليش اي فيروسات عن طريق اي حد في الشبكه ولحضرتك جزيل الشكر

الحقوني بعد اختفاء هذا الفيروس اللعين عدة ايام ظهرلي تاني اعمل ايه بس

مفيش حد عنده رد؟؟؟؟؟؟؟

للاسف اختى الكريمه احسن طريقه هى طريقة الاخ boob77
ولكن للاسف السبب فى رجوع هذا الفيرس لكى مره اخرى هو اتصالك بشبكة السيبر وبنسبة 99% هذا الفيرس موجود لديهم وبالتالى فهو ينتشر الى جميع الاجهزة المتصلة بشبكة السيبر ولابد من تنظيفه من جميع الاجهزة

وان شاء الله اكيد الاعضاء المختصين سوف يأتون لكى بحل لصد هذا الفيروس من الدخول الى الجهاز الخاص بكى . ولكن لابد من حذف الفيرس من الاساس والموجود بالسيبر بنسبة كبيرة
والله الموفق

طب حد يقولي ازاي اقفل جهازي من الشبكه وبعدين جهاز الكومبوفيكس بسيبه كتير عشان يخلص ويظهر تقرير مش بيظهر

من فضلكم حد يرد عليا الجهاز بجد تعبني

شكرا كتير

اقفلي السيستم ريستور سواء الجهاز مصاب بفايروس ام لا وضروري اثناء المكافحه لكل البارتشنات ما عدا ال سي
http://www.m5zn.com/uploads/2010/8/18/photo/081810150823pdhkw1jcvl6.jpg
افصلي الجهاز عن الانترنت اثناء تنظيف الجهاز بالماور وباقي البرامج الاخرى
يوجد برنامج اسمه dr web يوجد موقع باسمه نزلي النسخه المجانيه منه لانهم يحدثوه كل فتره واعملي به سكان للجهاز مع الانتباة انه يتلف بعض الكراكات والباتشات لانه يعتبرها فايرس
يوجد برنامج اخر اسمه combofix في موقع باسمه نزلي منه نسخه لانهم يحدثوه كل فتره ويفضل استخدامها من السيف مود
واهم شي في المكافحه لا تنسي قفل السيستم ريستور وفصل كيبل الانترنت من الجهاز

واذا فرمت الجهاز لا تفتحي اي بارتشن ولا تخلي اي فلاشه نصبي انتي فايرس الماور وحدثيهم واعملي سكان شامل
طبعا الفورمات اخر خيار
وردي خبر