عاجل: مشاكل كبيرة بالجهاز حتي بعد تغيير الويندوز

A

ahmedhamama

زيزوومي جديد
إنضم
22 يوليو 2007
المشاركات
6
مستوى التفاعل
0
النقاط
0
الإقامة
China
الموقع الالكتروني
www.zyzoom.org
غير متصل
السلام عليكم
لدي مشكلة بالجهاز منذ أسبوع تقريباً وقمت بتثبيت الويندوز أكثر من 22 مرة ! وبعد كل مرة من تغيير الويندوز تظهر نفس المشاكل وتتسبب فى فشل نظام الويندوز بعد 12 ثانية بالضبط من بداية تشغيل الويندوز الجديد ..
بدأت المشكلة عند توصيل كارت ذاكرة جوال بالجهاز عبر الفلاش ميموري , وللأسف لم يكن لدي برامج حماية وقتها
حالياً لا أستخدم برامج حماية ولم أثبت أي برامج جديدة فحالة الجهاز غير مستقرة نهائياً
بعض الأعراض مع الصور:
تعطيل مدير المهام
تعطيل الريجستري
تعطيل تشغيل بعض البرامج
تعطيل إظهار الملفات المخفية (أي تختفي بعد إختيار إظهارها)
تعطيل الوضع الآمن (بعد الضغط علي F8 وإختيار الوضع الآمن يعاد تشغيل الجهاز)
49343023py1.jpg


84868781ni8.jpg


45287716da6.jpg


96734351yt6.jpg


82021818dv2.jpg


ومشاكل أخري لا أذكرها الآن ,
فهل هناك حل فعال مع هذه المشاكل ؟ أو هذا الفيروس ؟
ياريت من لديه حل أكيد غير أني أفرمت الجهاز وأعيد تقسيم الهارد لأن هناك ملفات كثيرة جدا ومهمة يخبرنا به , وجزاكم الله كل خير
تقرير HijackThis فى الرد القادم إن شاء الله ..
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:21:28, on 11/25/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\tulyun.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winhastrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
G:\البرامج\لتسجيل الصوت.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 8\SnagPriv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Ahmed\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

--
End of file - 2483 bytes
 
تأييد 0
حدد هذه القيمة واحذفها


O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


طريقة الحذف

zyzoom-47abf39087.gif



zyzoom-dc3770ae68.gif



نزل هالاداة لتنظيف الجهاز


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



zyzoom-3c0e283670.gif


ثم خبرني بالي صار معاك

 
توقيع : السّاجد لله
تأييد 0
شكرا لك علي المتابعة , للأسف لم يحدث أي تغيير ..
 
تأييد 0
المعذرة على التدخل

مانقدر نسوي شي لحتى ننظف الجهاز من الفيروسات


اعمل التالي لاهنت وبالترتيب

اول شي عطل استعادة النظام ثم شغلها مرة اخرى

dis_sys_xp.jpg




ثاني شي

==============
(1)
عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم




بعد ما تخلص من عمل المطلوب اعمل التالي



حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

zyzoom-3d6517b067.png


zyzoom-7717063ed7.png


zyzoom-cda271da05.png


zyzoom-26888dbf15.png


zyzoom-3f4576c288.png


ثم قم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي





وبعد ماتخلص فحص عطني تقرير هايجاك جديد


بالأنتظار للتقارير وبالترتيب لاهنت​

 
التعديل الأخير بواسطة المشرف:
توقيع : AbOdy
تأييد 0
جاري إعادة عمل التقرير ..
 
تأييد 0
طيب بالترتيب كما طلبت أخي الكريم
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
وآسف علي التأخير ..
أولاً تقرير ComboFix

ComboFix 08-11-26.05 - Ahmed 2008-11-27 1:14:19.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1256.20.1033.18.584 [GMT 2:00]
Running from: c:\documents and settings\Ahmed\Desktop\ComboFix.exe
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-10-26 to 2008-11-26 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 22:47 --------- d-----w c:\program files\microsoft frontpage
.
((((((((((((((((((((((((((((( snapshot@2008-11-27_ 0.59.12.68 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-26 23:07:03 253,952 ----a-w c:\windows\system32\config\systemprofile\ntuser.dat
+ 2008-11-26 23:08:14 9,444 ----a-w c:\windows\system32\Restore\rstrlog.dat
- 2008-04-14 12:00:00 135,680 ----a-w c:\windows\system32\taskmgr.exe
+ 2008-04-14 12:00:00 213,504 ----a-w c:\windows\system32\taskmgr.exe
+ 2008-11-26 23:13:12 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_398.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 286776]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 532992]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 532992]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 93184]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"g:\\New Folder\\ComboFix.exe"=
"c:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE"=
"c:\\WINDOWS\\system32\\CF23164.exe"=
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\uikkn.sys []
*Newly Created Service* - ABP470N5
*Newly Created Service* - HTTPFILTER
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-11-27 01:15:45
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-11-27 1:17:05
ComboFix-quarantined-files.txt 2008-11-26 23:16:53
Pre-Run: 7,979,343,872 bytes free
Post-Run: 7,973,265,408 bytes free
76
ملاحظة لم يتم عمل ريستارت عند الفحص بالComboFix

ثانياً تقرير اداة الكاسبر
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

رفعته علي الرابيد شير لأن مساحته 5 ميجا تقريباً (مضغوط)

وأخيراً تقرير الHijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:27:35 PM, on 11/27/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winxvbknb.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winppfllc.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\kutljb.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\uTorrent\uTorrent.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winjghjob.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\winbkadnb.exe
C:\DOCUME~1\Ahmed\LOCALS~1\Temp\uiyj.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Ahmed\Desktop\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
--
End of file - 2528 bytes

والمشاكل ما زالت قائمة للأسف , بالإنتظار ..
 
تأييد 0
للرفع ..
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى