فيروس IEXPLORER.EXE استعراض الإختطاف الدخول الثابتة والمتنقلة

nitingaur · #1 21st سبتمبر 2008 ، 12:02

ملف السجل من تريند مايكرو HijackThis v2.0.2
مسح المحفوظة في 12:01:37 م ، 9/21/2008
نظم التشغيل ويندوز إكس بي SP2 (WinNT 5.01.2600)
MSIE : إنترنت إكسبلورر v6.00 SP2 (6.00.2900.2180)
الحذاء واسطة : عادية
إدارة العمليات :
جيم : \ النوافذ \ System32 \ smss.exe
جيم : \ النوافذ \ system32 \ csrss.exe
جيم : \ النوافذ \ system32 \ winlogon.exe
جيم : \ النوافذ \ system32 \ services.exe
جيم : \ النوافذ \ system32 \ lsass.exe
جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية إدراكا - \ aawservice.exe
جيم : \ النوافذ \ system32 \ spoolsv.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ Centenn.ial \ مراجعة \ CAgent32.exe
جيم : \ Centenn.ial \ مراجعة \ xferwan.exe
جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ VS7DEBUG \ MDM.EXE
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
جيم : \ النوافذ \ System32 \ TPHDEXLG.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
ج : \ _integra \ بن \ ccmagent.exe
ج : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ suservice.exe
جيم : \ النوافذ \ System32 \ alg.exe
جيم : \ النوافذ \ system32 \ calc.exe
جيم : \ النوافذ \ system32 \ calc.exe
ج : \ _integra \ بن \ shstart.exe
جيم : \ النوافذ \ Explorer.EXE
جيم : \ النوافذ \ system32 \ tp4mon.exe
جيم : \ النوافذ \ system32 \ igfxtray.exe
جيم : \ النوافذ \ system32 \ hkcmd.exe
جيم : \ النوافذ \ system32 \ igfxpers.exe
جيم : \ النوافذ \ system32 \ NWTRAY.EXE
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe
جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe
جيم : \ النوافذ \ system32 \ igfxsrvc.exe
جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe
جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
جيم : \ النوافذ \ system32 \ TpShocks.exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPONSCR.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe
جيم : \ ملفات البرنامج \ ينوفو \ تكبير \ TpScrex.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe
جيم : \ النوافذ \ system32 \ ctfmon.exe
جيم : \ ملفات البرنامج \ ياهو \ رسول \ ymsgr_tray.exe
جيم : \ النوافذ \ system32 \ taskmgr.exe
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ النوافذ \ system32 \ wuauclt.exe
جيم : \ النوافذ \ system32 \ wbem \ wmiprvse.exe
جيم : \ ملفات البرنامج \ تريند مايكرو \ HijackThis \ HijackThis.exe
جيم : \ النوافذ \ system32 \ wbem \ wmiprvse.exe
F2 -- ريج : System.ini : UserInit = ج : \ نوافذ \ system32 \ userinit.exe ، ج : \ _inte جمهورية أنغولا \ بن \ shstart.exe
O2 -- BHO : AcroIEHlprObj الفئة -- (06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3) -- جيم : \ ملفات البرنامج \ أدوبي \ البهلوان 7.0 \ ActiveX \ AcroIEHelper.dll
O2 -- BHO : DriveLetterAccess -- (5CA3D70E - 1895 - 11CF - 8E15 - 001234567890) -- جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswshx.dll
O4 -- HKLM \.. \ تشغيل : [TrackPointSrv] tp4mon.exe
O4 -- HKLM \.. \ تشغيل : [IgfxTray] جيم : \ النوافذ \ system32 \ igfxtray.exe
O4 -- HKLM \.. \ تشغيل : [HotKeysCmds] جيم : \ النوافذ \ system32 \ hkcmd.exe
O4 -- HKLM \.. \ تشغيل : [استمرار] جيم : \ النوافذ \ system32 \ igfxpers.exe
O4 -- HKLM \.. \ تشغيل : [NWTRAY] NWTRAY.EXE
O4 -- HKLM \.. \ تشغيل : [ccApp] "جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe"
O4 -- HKLM \.. \ تشغيل : [vptray] جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 -- HKLM \.. \ تشغيل : [TPHOTKEY] جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe
O4 -- HKLM \.. \ تشغيل : [UpdateManager] "جيم : \ ملفات البرنامج \ عام الملفات \ صوتي \ تحديث مدير \ sgtray.exe" / ص
O4 -- HKLM \.. \ تشغيل : [بدل المعيشة للعجزة] جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe
O4 -- HKLM \.. \ تشغيل : [EZEJMNAP] جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 -- HKLM \.. \ تشغيل : [LPManager] جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 -- HKLM \.. \ تشغيل : [TpShocks] TpShocks.exe
O4 -- HKLM \.. \ تشغيل : [TVT المبرمج الوكيل] جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe
O4 -- HKLM \.. \ تشغيل : [TkBellExe] "جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe" - osboot
O4 -- HKCU \.. \ تشغيل : [ctfmon.exe] جيم : \ النوافذ \ system32 \ ctfmon.exe
O4 -- HKCU \.. \ تشغيل : [ياهو! استدعاء] "جيم : \ ملفات البرنامج \ ياهو \ رسول \ YahooMessenger.exe" - هادئة
O4 -- HKUS \ دإ - 1 - 5 - 19 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'الخدمات المحلية)
O4 -- HKUS \ دإ - 1 - 5 - 20 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'خدمة شبكة)
O4 -- HKUS \ دإ - 1 - 5 - 18 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'نظام')
O4 -- HKUS \. الافتراضية \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'المستخدم الافتراضي')
O8 -- خارج السياق القائمة البند : هاء & xport لمايكروسوفت اكسل -- القرار : / / جيم : \ PROGRA ~ 1 \ صغار جدا ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -- زر اضافية : بحث -- (92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263) -- جيم : \ PROGRA ~ 1 \ صغار جدا ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -- زر اضافية : @ جيم : \ ملفات البرنامج \ رسول \ Msgslang.dll ، -61144 -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O9 -- عمليات الإعدام خارج نطاق 'ادوات' menuitem : @ جيم : \ ملفات البرنامج \ رسول \ Msgslang.dll ، -61144 -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O16 -- DPF : (215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A) (ActiveX تريند مايكرو المسح الضوئي وكيل 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 -- HKLM \ نظام \ من قانون الأحوال المدنية \ خدمات \ Tcpip \.. \ (B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74) : = الحقول keane.com
O23 -- الخدمات : Lavasoft الاعلانية - إدراكا دائرة aawservice) -- Lavasoft -- جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية - إدراكا \ aawservice.exe
O23 -- الدائرة : دائرة إدارة الطلب (AppMgSvc) -- مجهول المالك -- جيم : \ Program.exe (ملف المفقودين)
O23 -- الخدمات : BHCP دائرة BHsrv) -- مجهول المالك -- جيم : \ Program.exe (ملف المفقودين)
O23 -- الخدمات : مدير الفعاليات سيمانتيك (ccEvtMgr) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
O23 -- الخدمات : مدير سيمانتك تادادعإ (ccSetMgr) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
O23 -- الخدمات : CentennialClientAgent -- المئوية للبرمجيات المحدودة -- جيم : \ Centenn.ial \ مراجعة \ CAgent32.exe
O23 -- الخدمات : CentennialIPTransferAgent -- المئوية للبرمجيات المحدودة -- جيم : \ Centenn.ial \ مراجعة \ xferwan.exe
O23 -- الخدمة : خدمة العملاء لتحديث نوفيل (cusrvc) -- نوفيل ، شركة -- جيم : \ النوافذ \ system32 \ cusrvc.exe
O23 -- الخدمات : شركة سيسكو سيستمز ، وشركة خدمات الشبكات الافتراضية الخاصة (CVPND) -- شركة سيسكو سيستمز ، وشركة -- جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
O23 -- الخدمات : سيمانتيك مكافحة الفيروسات تعريف مراقب (DefWatch) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
O23 -- الخدمات : شركة إنتل (صاد) PROSet / الاحداث الدخول اللاسلكي (EvtEng) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
O23 -- الدائرة : دائرة ThinkPad م (IBMPMSVC) -- ينوفو -- جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
O23 -- الخدمات : LiveUpdate -- شركة سيمانتيك -- جيم : \ PROGRA ~ 1 \ سيمانتيك \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 -- الخدمات : شركة إنتل (صاد) PROSet / اللاسلكية قلم دائرة RegSrvc) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
O23 -- الخدمات : شركة إنتل (صاد) PROSet / الخدمة اللاسلكية (S24EventMonitor) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
O23 -- الخدمات : SAVRoam (SavRoam) -- سيمانتك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
O23 -- الخدمة : شبكة سيمانتيك سائقين خدمة SNDSrvc) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SNDSrvc.exe
O23 -- الخدمات : SPBBCSvc سيمانتك (SPBBCSvc) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
O23 -- الخدمات : تحديث نظام (SUService) -- مجموعة لينوفو المحدودة -- ج : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ suservice.exe
O23 -- الخدمات : سيمانتيك مكافحة الفيروسات -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
O23 -- الدائرة : دائرة مراقبة ThinkVantage قلم -- مجموعة لينوفو المحدودة -- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
O23 -- الخدمات : ThinkPad دائرة تسجيل الأقراص الصلبة وكالة الانباء الجزائرية (TPHDEXLGSVC) -- لينوفو. -- جيم : \ النوافذ \ System32 \ TPHDEXLG.exe
O23 -- الخدمات : TVT المبرمج -- مجموعة لينوفو المحدودة -- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
O23 -- الخدمات : وكيل لسيمانتيك LiveState ويندوز (WControl) -- شركة سيمانتيك -- ج : \ _integra \ بن \ ccmagent.exe
--
نهاية ملف -- 8621 بايت

**evilfantasy** · #2 21st سبتمبر 2008 ، 15:30

تنزيل Malwarebytes 'مكافحة البرامج الضارة (MBAM)

انقر نقرا مزدوجا فوق mbam - setup.exe وتتبع الارشادات لتثبيت البرنامج.
في النهاية ، ومن المؤكد أن وجود checkmark يوضع المقبل إلى ما يلي :
- تحديث Malwarebytes 'مكافحة البرامج الضارة
- اطلاق Malwarebytes 'مكافحة البرامج الضارة
ثم انقر الانتهاء.
إذا وجدت التحديث ، سوف تنزيل وتثبيت الإصدار الأحدث.
بمجرد تحميل البرنامج ، اختر أداء سريع والمسح الضوئي، ثم انقر المسح الضوئي.
عند الانتهاء من المسح الضوئي ، ثم انقر فوق ؟ثم وتظهر النتائج للإطلاع على النتائج.
مما لا شك فيه أن كل شيء على ما فحصها ، وانقر فوق إزالة مختارة.
عند الانتهاء من التطهير ، وسيفتح سجل في المفكرة ، وكنت قد تكون دفعت لاستئناف (انظر ملاحظة اضافية)
الدخول تلقائيا هي التي انقذت MBAM ويمكن النظر عن طريق النقر فوق علامة التبويب ملفات الأرشيف في MBAM.
نسخ ولصق كامل التقرير الخاص بك في الرد القادم.

ملاحظة اضافية : إذا كان ملف MBAM اللقاءات التي من الصعب إزالة البرنامج ، سيتم عرض 1 من 2 يحدو ، انقر فوق موافق لاما والسماح MBAM مع المضي قدما في عملية التطهير ، واذا طلب إعادة تشغيل جهاز الكمبيوتر ، يرجى القيام بذلك على الفور.

nitingaur · #3 21st سبتمبر 2008 ، 18:18

العثور على أي برامج ضارة ، وهنا التقرير
-------------------------------------------------- ----
نوافذ 5.1.2600 حزمة الخدمة 2
9/21/2008 6:16:07
mbam تسجيل - 2008 - 09 - 21 (18-16-07). النص
نوع المسح : المسح السريع
الأجسام مسحها : 52621
الوقت المنقضي : 4 دقيقة (ق) ، والثاني 41 (ق)
ذاكرة العمليات المصابة : 0
وحدات الذاكرة المصابة : 0
مفاتيح التسجيل المصابة : 0
سجل القيم المصابة : 0
سجل بيانات البنود المصابة : 0
المجلدات المصابة : 0
الملفات المصابة : 0
ذاكرة العمليات المصابة :
(لا توجد بنود الخبيثة المكتشفة)
وحدات الذاكرة المصابة :
(لا توجد بنود الخبيثة المكتشفة)
مفاتيح التسجيل المصابة :
(لا توجد بنود الخبيثة المكتشفة)
سجل القيم المصابة :
(لا توجد بنود الخبيثة المكتشفة)
سجل بيانات البنود المصابة :
(لا توجد بنود الخبيثة المكتشفة)
المجلدات المصابة :
(لا توجد بنود الخبيثة المكتشفة)
الملفات المصابة :
(لا توجد بنود الخبيثة المكتشفة)

**evilfantasy** · #4 21st سبتمبر 2008 ، 18:40

لا يوجد في أي من البرامج الضارة التي تبين الدخول.

ماذا يحدث بالضبط؟

nitingaur · #5 21st سبتمبر 2008 ، 19:23

IEXPLORER.EXE عملية متعددة في عملية spwaning القائمة. باشروا على الفور حتى لو البوب بقتلهم واحدا تلو الآخر. وأود أيضا أن نسمع أحيانا بعض كأنه واحد من تلك تشغيل أي نافذة المتصفح ولكن لا مرئية. ولا شك في أن هناك خطأ من المفترض أنها ليست موجودة.

**evilfantasy** · #6 21st سبتمبر 2008 ، 19:26

ComboFix التحميل عن طريق الغواصات من واحد من الروابط أدناه. مما لا شك فيه كبار لإنقاذ المكتبي.

وصلة # 1
وصلة رقم 2

** ملاحظة : من المهم أن يتم حفظ مباشرة إلى سطح المكتب الخاص بك

أي وثيقة مفتوحة متصفحات الويب. (فايرفوكس ، إنترنت إكسبلورر ، الخ) ComboFix قبل الانطلاق.

مؤقتا يعطل ملكك مكافحة الفيروسات، وأي antispyware الحماية في الوقت الحقيقي قبل المنفذ لفحص بالاشعة. اضغط هذا الرابط لترى قائمة من البرامج الأمنية التي ينبغي والمعوقين وكيفية تعطيل لها.

انقر مرتين combofix.exe & يتبع يدفع.
عندما انتهى ComboFix ستنتج سجل لك.
فإن وظيفة سجل ComboFix وجديد سجل HijackThis في الرد التالي الخاص بك.

المهم : لا mouseclick ComboFix نافذة في حين انها تعمل. يمكن أن تتسبب في تعطيل ذلك.

تذكر أن إعادة تمكين مكافحة الفيروسات الخاص بك وعندما antispyware حماية ComboFix كامل.

nitingaur · #7 21st سبتمبر 2008 ، 19:42

ComboFix الدخول
-----------------------
ComboFix 08-09-20.05 -- 012466 2008-09-21 19:31:50.1 -- NTFSx86
مايكروسوفت ويندوز إكس بي من الفئة الفنية 5.1.2600.2.1252.1.1033.18.473 [بتوقيت جرينتش -7:00]
يمتد من : جيم : \ Keanetools \ ComboFix.exe
* تم إنشاء نقطة استعادة جديدة
تحذير بين هذا الجهاز لا يملك بالاسترداد تركيبها!
.
(((((((((((((((((((((((((((((((((((((((أخرى الحذوفات))))))))) ))))))))))))))))))))))))))))))))))))))))
.
جيم : \ الوثائق وإعدادات \ LocalService \ الكوكيز \ system@ad.yieldmanag إيه [1]. النص
جيم : \ النوافذ \ system32 \ x64
.
(((((((((((((((((((((((((((((((((((((((سائقين / خدمات)))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

(((((((((((((((((((((((((إنشاء ملفات 2008-09-22 من 2008-08-22 إلى))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR>د -------- جيم : \ ملفات البرنامج \ Malwarebytes 'مكافحة البرامج الضارة
2008-09-21 18:09. 2008-09-21 18:09 <DIR>د -------- جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR>د -------- جيم : \ الوثائق وإعدادات \012466 \ بيانات التطبيق \ Malwarebytes
2008-09-21 18:09. 2008/09/10 00:04 38528 -- ------ جيم : \ النوافذ \ system32 \ السائقين \ mbamswissarmy.sys
2008-09-21 18:09. 2008/09/10 00:03 17،200 -- ------ جيم : \ النوافذ \ system32 \ السائقين \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR>د -------- جيم : \ ملفات البرنامج \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR>د -------- جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ الحكماء تركيب معالج
2008-09-20 23:40. 2008-09-20 23:40 <DIR>د -------- جيم : \ ملفات البرنامج \ تريند مايكرو
2008-09-19 09:03. 2008-09-19 09:08 <DIR>د -------- جيم : \ النوافذ \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR>د -------- جيم : \ الوثائق وإعدادات \012466 \. housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR>دا ------ جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ الحرارة
2008-09-18 20:25. 2002-02-04 06:22 +1230336 -- ------ جيم : \ النوافذ \ system32 \ msxml4.dll
2008-09-18 20:25. 2007/09/14 05:01 922٬920 --------- جيم : \ النوافذ \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 +82432 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 +44544 -- ------ جيم : \ النوافذ \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002/02/07 18:43 9679 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002/02/07 18:43 +9675 -- ------ جيم : \ النوافذ \ system32 \ msxml4.cat
2008-09-18 20:25. 2002/02/06 20:31 3،489 -- ------ جيم : \ النوافذ \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو
2008-09-18 18:27. 2008/09/21 11:54 21272 -- ------ جيم : \ النوافذ \ system32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 -- ------ جيم : \ النوافذ \ system32 \004fdb9.imi
2008-09-15 14:23. 2008/09/15 14:23 من النظام المنسق 332٬800 --- ---- جيم : \ النوافذ \ system32 \ _Bhsrv.msi
2008-09-15 12:15. 2008/09/18 15:57 69٬942 -- ------ جيم : \ النوافذ \ system32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 -- ------ جيم : \ النوافذ \ system32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 -- ------ جيم : \ النوافذ \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ ريال
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ شينغ المشتركة
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ ريال
.
((((((((((((((((((((((((((((((((((((((((Find3M تقرير)))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- ----- د ث ج : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات
2008-09-22 02:33 --------- ----- د ث ج : \ ملفات البرنامج \ عملاء سيسكو الشبكات الافتراضية الخاصة
2008-09-21 18:56 16 -- ش -- ص جيم : \ MSCIOTL.SYS
2008/09/21 18:55 8٬416 ---- فصيل عبد الواحد جيم : \ النوافذ \ system32 \ السائقين \ CDProbe.SYS
2008/09/20 19:26 430816 -- ش -- ث جيم : \ ملفات البرنامج \ _MsInfo.msi
2008-09-19 03:25 --------- د -- ح -- ث جيم : \ ملفات البرنامج \ InstallShield تركيب المعلومات
2008-09-19 03:25 --------- ----- د ث ج : \ ملفات البرنامج \ ThinkVantage
2008-09-19 03:21 --------- ----- د ث ج : \ ملفات البرنامج \ ينوفو
.
ريج (((((((((((((((((((((((((((((((((((((تحميل نقاط)))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* ملاحظة * & إدخالات فارغة شرعي التقصير لا تظهر الإدخالات
REGEDIT4
[HKEY_CURRENT_USER \ البرمجيات \ مايكروسوفت \ ويندوز \ Curre ntVersion \ تشغيل]
"ctfmon.exe" = "جيم : \ النوافذ \ system32 \ ctfmon.exe" [2004-08-04 15360]
"ياهو! البيجر" = "جيم : \ ملفات البرنامج \ ياهو \ رسول \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز \ بالعملة entVersion \ تشغيل]
"IgfxTray" = "جيم : \ النوافذ \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "جيم : \ النوافذ \ system32 \ hkcmd.exe" [2007-08-15 162328]
"الثبات" = "جيم : \ النوافذ \ system32 \ igfxpers.ex ه" [2007-08-15 137752]
"ccApp" = "جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe" [2006-03-24 53408]
"vptray" = "جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "جيم : \ ملفات البرنامج \ عام الملفات \ صوتي \ تحديث مدير \ sgtray.exe" [2003-08-18 110592]
"بدل المعيشة للعجزة" = "جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. إكس" [2007-04-26 243248]
"LPManager" = "جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT المبرمج الوكيل" = "جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 جيم : \ النوافذ \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 جيم : \ النوافذ \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 جيم : \ النوافذ \ system32 \ TpShocks.exe]
[HKEY_USERS \. الافتراضي \ برامج \ مايكروسوفت \ ويندوز \ الوغد rentVersion \ تشغيل]
"الاتصال" = "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ \ بالعملة entversion \ سياسات \ نظام]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. الافتراضي \ برامج \ مايكروسوفت \ نوافذ \ لئيم rentversion \ سياسات \ اكسبلورر]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ winlogon \ تخطر \ tpfnf2]
2006-09-06 13:37 34344 جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ winlogon \ تخطر \ tphotkey]
2006-12-14 08:06 28672 جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ tphklock.dll
[HKEY_LOCAL_MACHINE \ نظام \ currentcontrolset \ contro ل \ خدمة اللوجيستيات]
التوثيق الحزم REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ مركز الأمن \ رصد \ SymantecAntiVirus]
"DisableMonitoring" = dword : 00000001
[HKLM \ ~ \ الخدمات \ sharedaccess \ بارامترات \ firewallpo licy \ standardprofile \ AuthorizedApplications \ قائمة]
"٪ windir ٪ \ \ system32 \ \ sessmgr.exe" =
"جيم : / ملفات البرنامج \ \ ياهو! \ \ رسول \ \ YahooMessenger.exe" =
"جيم : / ملفات البرنامج \ \ ياهو! \ \ الماسنجر \ \ YServer.exe" =
R0 Shockprf ؛ Shockprf ؛ جيم : \ النوافذ \ system32 \ السائقين \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN ؛ TPDIGIMN ؛ جيم : \ النوافذ \ system32 \ السائقين \ ApsH M86.sys [2007-03-02 19760]
R2 smefs ؛ SMEFileSystem ؛ جيم : \ النوافذ \ system32 \ السائقين \ ن خ efs.sys [2006-02-08 20508]
R3 CdProbe ؛ CdProbe ؛ جيم : \ النوافذ \ system32 \ السائقين \ cdprob e.sys [2008-09-21 8416]
R3 smedrv ؛ SMEDriver ؛ جيم : \ النوافذ \ system32 \ السائقين \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc ؛ دائرة إدارة الطلب ؛ جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi ؛ yraebbgi ؛ جيم : \ النوافذ \ system32 \ السائقين \ bynp ea.sys []
S2 yrtxzgwh ؛ yrtxzgwh ؛ جيم : \ النوافذ \ system32 \ السائقين \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- ------- التكميلية المسح الضوئي
.
R0 -- : HKCU - الرئيسية ، صفحة البداية = hxxp : / / www.google.com/
O8 -- : & xport هاء لمايكروسوفت اكسل -- جيم : \ PROGRA ~ 1 \ صغار جدا ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista -- rootkit / الشبح Gmer بها للكشف عن البرامج الضارة ، http://www.gmer.net
Rootkit مسح 2008-09-21 19:35:12
نوافذ 5.1.2600 حزمة الخدمة 2 NTFS
عمليات المسح الخفية...
مسح تشغيل تلقائي القيود الخفية...
مسح الملفات المخفية...
مسح بنجاح
الملفات المخفية : 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ نظام \ ControlSet001 \ الخدمات \ ألف ppMgSvc]
"ImagePath" = "جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs محمل تحت ادارة العمليات ---------------------
العملية : جيم : \ النوافذ \ system32 \ winlogon.exe
--> جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ tphklock.dll
.
------------------------ عمليات التشغيل الأخرى ----------------------- --
.
جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية إدراكا - \ aawservice.exe
جيم : \ _integra \ بن \ shstart.exe
جيم : \ النوافذ \ system32 \ igfxsrvc.exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPONSCR.exe
جيم : \ ملفات البرنامج \ ينوفو \ تكبير \ TpScrex.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DoScan.exe
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ CENTENN.IAL \ المراجعة \ CAgent32.exe
جيم : \ CENTENN.IAL \ المراجعة \ xferwan.exe
جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ VS7DEBUG \ MDM.EXE
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
جيم : \ ملفات البرنامج \ ياهو \ رسول \ Ymsgr_tray.exe
جيم : \ النوافذ \ system32 \ calc.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
جيم : \ النوافذ \ system32 \ TPHDEXLG.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
جيم : \ _integra \ بن \ ccmagent.exe
جيم : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ SUService.exe
جيم : \ النوافذ \ system32 \ wscntfy.exe
جيم : \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
وقت الانتهاء : 2008-09-21 19:36:58 -- أعيد تشغيل الآلة
ComboFix - الحجر الصحي files.txt - 2008-09-22 02:36:54
قبل تشغيل : 64.333.811.712 بايت حرة
بعد تشغيل : 64.523.264.000 بايت حرة
175

HijackThis الدخول
-----------------------------------
ملف السجل من تريند مايكرو HijackThis v2.0.2
مسح المحفوظة في 7:38:41 م ، 9/21/2008
نظم التشغيل ويندوز إكس بي SP2 (WinNT 5.01.2600)
MSIE : إنترنت إكسبلورر v6.00 SP2 (6.00.2900.2180)
الحذاء واسطة : عادية
إدارة العمليات :
جيم : \ النوافذ \ System32 \ smss.exe
جيم : \ النوافذ \ system32 \ winlogon.exe
جيم : \ النوافذ \ system32 \ services.exe
جيم : \ النوافذ \ system32 \ lsass.exe
جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية إدراكا - \ aawservice.exe
جيم : \ النوافذ \ system32 \ spoolsv.exe
ج : \ _integra \ بن \ shstart.exe
جيم : \ النوافذ \ system32 \ tp4mon.exe
جيم : \ النوافذ \ system32 \ igfxtray.exe
جيم : \ النوافذ \ system32 \ hkcmd.exe
جيم : \ النوافذ \ system32 \ igfxpers.exe
جيم : \ النوافذ \ system32 \ NWTRAY.EXE
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe
جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
جيم : \ النوافذ \ system32 \ igfxsrvc.exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe
جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe
جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPONSCR.exe
جيم : \ ملفات البرنامج \ ينوفو \ تكبير \ TpScrex.exe
جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
جيم : \ النوافذ \ system32 \ TpShocks.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe
جيم : \ النوافذ \ system32 \ ctfmon.exe
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ النوافذ \ system32 \ svchost.exe
جيم : \ Centenn.ial \ مراجعة \ CAgent32.exe
جيم : \ Centenn.ial \ مراجعة \ xferwan.exe
جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ VS7DEBUG \ MDM.EXE
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
جيم : \ ملفات البرنامج \ ياهو \ رسول \ ymsgr_tray.exe
جيم : \ النوافذ \ system32 \ calc.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
جيم : \ النوافذ \ System32 \ TPHDEXLG.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
ج : \ _integra \ بن \ ccmagent.exe
ج : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ suservice.exe
جيم : \ النوافذ \ system32 \ wscntfy.exe
جيم : \ النوافذ \ system32 \ wuauclt.exe
جيم : \ النوافذ \ system32 \ wuauclt.exe
جيم : \ النوافذ \ Explorer.exe
جيم : \ ملفات البرنامج \ تريند مايكرو \ HijackThis \ HijackThis.exe
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، Default_Page_URL = http://go.microsoft.com/fwlink/؟LinkId=69157
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، Default_Search_URL = http://go.microsoft.com/fwlink/؟LinkId=54896
R1 -- HKLM \ برامج \ مايكروسوفت \ إنترنت إكسبلورر \ الرئيسية ، صفحة البحث = http://go.microsoft.com/fwlink/؟LinkId=54896
O2 -- BHO : AcroIEHlprObj الفئة -- (06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3) -- جيم : \ ملفات البرنامج \ أدوبي \ البهلوان 7.0 \ ActiveX \ AcroIEHelper.dll
O2 -- BHO : DriveLetterAccess -- (5CA3D70E - 1895 - 11CF - 8E15 - 001234567890) -- جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswshx.dll
O4 -- HKLM \.. \ تشغيل : [TrackPointSrv] tp4mon.exe
O4 -- HKLM \.. \ تشغيل : [IgfxTray] جيم : \ النوافذ \ system32 \ igfxtray.exe
O4 -- HKLM \.. \ تشغيل : [HotKeysCmds] جيم : \ النوافذ \ system32 \ hkcmd.exe
O4 -- HKLM \.. \ تشغيل : [استمرار] جيم : \ النوافذ \ system32 \ igfxpers.exe
O4 -- HKLM \.. \ تشغيل : [NWTRAY] NWTRAY.EXE
O4 -- HKLM \.. \ تشغيل : [ccApp] "جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe"
O4 -- HKLM \.. \ تشغيل : [vptray] جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 -- HKLM \.. \ تشغيل : [TPHOTKEY] جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe
O4 -- HKLM \.. \ تشغيل : [UpdateManager] "جيم : \ ملفات البرنامج \ عام الملفات \ صوتي \ تحديث مدير \ sgtray.exe" / ص
O4 -- HKLM \.. \ تشغيل : [بدل المعيشة للعجزة] جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe
O4 -- HKLM \.. \ تشغيل : [EZEJMNAP] جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp.Exe
O4 -- HKLM \.. \ تشغيل : [LPManager] جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 -- HKLM \.. \ تشغيل : [TpShocks] TpShocks.exe
O4 -- HKLM \.. \ تشغيل : [TVT المبرمج الوكيل] جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe
O4 -- HKLM \.. \ تشغيل : [TkBellExe] "جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe" - osboot
O4 -- HKCU \.. \ تشغيل : [ctfmon.exe] جيم : \ النوافذ \ system32 \ ctfmon.exe
O4 -- HKCU \.. \ تشغيل : [ياهو! استدعاء] "جيم : \ ملفات البرنامج \ ياهو \ رسول \ YahooMessenger.exe" - هادئة
O4 -- HKUS \ دإ - 1 - 5 - 19 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'الخدمات المحلية)
O4 -- HKUS \ دإ - 1 - 5 - 20 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'خدمة شبكة)
O4 -- HKUS \ دإ - 1 - 5 - 18 \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'نظام')
O4 -- HKUS \. الافتراضية \.. \ تشغيل : [الاتصال] "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" (المستخدم 'المستخدم الافتراضي')
O8 -- خارج السياق القائمة البند : هاء & xport لمايكروسوفت اكسل -- القرار : / / جيم : \ PROGRA ~ 1 \ صغار جدا ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -- زر اضافية : بحث -- (92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263) -- جيم : \ PROGRA ~ 1 \ صغار جدا ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 -- زر اضافية : @ جيم : \ ملفات البرنامج \ رسول \ Msgslang.dll ، -61144 -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O9 -- عمليات الإعدام خارج نطاق 'ادوات' menuitem : @ جيم : \ ملفات البرنامج \ رسول \ Msgslang.dll ، -61144 -- (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -- جيم : \ ملفات البرنامج \ رسول \ msmsgs.exe
O16 -- DPF : (215B8138 - A3CF - 44C5 - 803F - 8226143CFC0A) (ActiveX تريند مايكرو المسح الضوئي وكيل 6.6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 -- HKLM \ نظام \ من قانون الأحوال المدنية \ خدمات \ Tcpip \.. \ (B8E7B489 - 2160 - 4DE7 - B592 - 9FD03D16CC74) : = الحقول keane.com
O17 -- HKLM \ نظام \ من قانون الأحوال المدنية \ خدمات \ Tcpip \.. \ (D239A412 - 22C2 - 4683 - 95BC - 1FFAA687D0DF) : NameServer = 172.21.18.101،172.21.18.102
O23 -- الخدمات : Lavasoft الاعلانية - إدراكا دائرة aawservice) -- Lavasoft -- جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية - إدراكا \ aawservice.exe
O23 -- الدائرة : دائرة إدارة الطلب (AppMgSvc) -- مجهول المالك -- جيم : \ Program.exe (ملف المفقودين)
O23 -- الخدمات : مدير الفعاليات سيمانتيك (ccEvtMgr) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
O23 -- الخدمات : مدير سيمانتك تادادعإ (ccSetMgr) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
O23 -- الخدمات : CentennialClientAgent -- المئوية للبرمجيات المحدودة -- جيم : \ Centenn.ial \ مراجعة \ CAgent32.exe
O23 -- الخدمات : CentennialIPTransferAgent -- المئوية للبرمجيات المحدودة -- جيم : \ Centenn.ial \ مراجعة \ xferwan.exe
O23 -- الخدمة : خدمة العملاء لتحديث نوفيل (cusrvc) -- نوفيل ، شركة -- جيم : \ النوافذ \ system32 \ cusrvc.exe
O23 -- الخدمات : شركة سيسكو سيستمز ، وشركة خدمات الشبكات الافتراضية الخاصة (CVPND) -- شركة سيسكو سيستمز ، وشركة -- جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
O23 -- الخدمات : سيمانتيك مكافحة الفيروسات تعريف مراقب (DefWatch) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
O23 -- الخدمات : شركة إنتل (صاد) PROSet / الاحداث الدخول اللاسلكي (EvtEng) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
O23 -- الدائرة : دائرة ThinkPad م (IBMPMSVC) -- ينوفو -- جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
O23 -- الخدمات : LiveUpdate -- شركة سيمانتيك -- جيم : \ PROGRA ~ 1 \ سيمانتيك \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 -- الخدمات : شركة إنتل (صاد) PROSet / اللاسلكية قلم دائرة RegSrvc) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
O23 -- الخدمات : شركة إنتل (صاد) PROSet / الخدمة اللاسلكية (S24EventMonitor) -- شركة إنتل -- جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
O23 -- الخدمات : SAVRoam (SavRoam) -- سيمانتك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
O23 -- الخدمة : شبكة سيمانتيك سائقين خدمة SNDSrvc) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SNDSrvc.exe
O23 -- الخدمات : SPBBCSvc سيمانتك (SPBBCSvc) -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
O23 -- الخدمات : تحديث نظام (SUService) -- مجموعة لينوفو المحدودة -- ج : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ suservice.exe
O23 -- الخدمات : سيمانتيك مكافحة الفيروسات -- شركة سيمانتيك -- جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
O23 -- الدائرة : دائرة مراقبة ThinkVantage قلم -- مجموعة لينوفو المحدودة -- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
O23 -- الخدمات : ThinkPad دائرة تسجيل الأقراص الصلبة وكالة الانباء الجزائرية (TPHDEXLGSVC) -- لينوفو. -- جيم : \ النوافذ \ System32 \ TPHDEXLG.exe
O23 -- الخدمات : TVT المبرمج -- مجموعة لينوفو المحدودة -- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
O23 -- الخدمات : وكيل لسيمانتيك LiveState ويندوز (WControl) -- شركة سيمانتيك -- ج : \ _integra \ بن \ ccmagent.exe
--
نهاية ملف -- 8581 بايت

**evilfantasy** · #8 21st سبتمبر 2008 ، 21:24

ملاحظة : أدناه تعليمات أنشئت خصيصا لهذا المستخدم. إذا لم تكن هذا المستخدم ، لا اتبع هذه التوجهات لأنها قد تضر بعمل نظامك

حذف هذه الملفات / مجلدات ، على النحو التالي :

1. اذهب إلى يبدأ > يشغل > نوع notepad.exe وانقر على ؟ لفتح المفكرة.
هو يجب المفكرة أن تكون ، وليس الدفتر.
2. نسخ النص أدناه في قانون الجزاء من خلال تسليط الضوء على كل النص وتضغط السيطرة + جيم

الرمز :

KillAll : : سائق : BHSRV BHsrv الملف : جيم : \ النوافذ \ system32 \ bynpea.key جيم : \ النوافذ \ system32 \ 004fdb9.imi جيم : \ النوافذ \ system32 \ _Bhsrv.msi جيم : \ النوافذ \ system32 \ rrjack. جيم الرئيسية : \ النوافذ \ system32 \ 0048444.imi جيم : \ النوافذ \ system32 \ السائقين \ bynpea.sys جيم : \ النوافذ \ system32 \ السائقين \ rrjack.sys جيم : \ النوافذ \ system32 \ calc.exe

3. اذهب إلى النافذة وانقر المفكرة تحرير > لصق
4. ثم انقر ملف > حفظ
5. اسم الملف CFScript.txt -- حفظ الملف على سطح المكتب الخاص بك
6. ثم اسحب CFScript (عقد زر الماوس الأيسر في حين سحب ملف) وتسقطها (الافراج عن زر الماوس الأيسر) في ComboFix.exe كما ترون في الصورة ادناه. المهم : أداء هذه التعليمات بدقة!

ComboFix سيبدأ تنفيذه ، فقط اتبع يدفع.
بعد إعادة التشغيل (في حال تطلب إعادة التشغيل) ، سوف ينتج سجل لك.
إن الدخول في مرحلة ما بعد (Combofix.txt) الخاص بك في الرد القادم.

ملاحظة : لا mouseclick ComboFix نافذة في حين انها تعمل. يمكن أن تتسبب في تجميد نظامك

nitingaur · #9 21st سبتمبر 2008 ، 22:20

ComboFix التوالي بعد ان سجل CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 -- 012466 2008-09-21 22:11:45.2 -- NTFSx86
مايكروسوفت ويندوز إكس بي من الفئة الفنية 5.1.2600.2.1252.1.1033.18.598 [بتوقيت جرينتش -7:00]
يمتد من : جيم : \ Keanetools \ ComboFix.exe
القيادة المفاتيح المستخدمة : : جيم : \ الوثائق وإعدادات \012466 \ سطح المكتب \ CFScript.txt
* تم إنشاء نقطة استعادة جديدة
تحذير بين هذا الجهاز لا يملك بالاسترداد تركيبها!
الملف :
جيم : \ النوافذ \ system32 \ _Bhsrv.msi
جيم : \ النوافذ \ system32 \0048444.imi
جيم : \ النوافذ \ system32 \004fdb9.imi
جيم : \ النوافذ \ system32 \ bynpea.key
جيم : \ النوافذ \ system32 \ calc.exe
جيم : \ النوافذ \ system32 \ السائقين \ bynpea.sys
جيم : \ النوافذ \ system32 \ السائقين \ rrjack.sys
جيم : \ النوافذ \ system32 \ rrjack.key
.
(((((((((((((((((((((((((((((((((((((((أخرى الحذوفات))))))))) ))))))))))))))))))))))))))))))))))))))))
.
جيم : \ النوافذ \ system32 \ _Bhsrv.msi
جيم : \ النوافذ \ system32 \0048444.imi
جيم : \ النوافذ \ system32 \004fdb9.imi
جيم : \ النوافذ \ system32 \ bynpea.key
جيم : \ النوافذ \ system32 \ calc.exe
جيم : \ النوافذ \ system32 \ rrjack.key
.
(((((((((((((((((((((((((إنشاء ملفات 2008-09-22 من 2008-08-22 إلى))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR>د -------- جيم : \ ملفات البرنامج \ Malwarebytes 'مكافحة البرامج الضارة
2008-09-21 18:09. 2008-09-21 18:09 <DIR>د -------- جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR>د -------- جيم : \ الوثائق وإعدادات \012466 \ بيانات التطبيق \ Malwarebytes
2008-09-21 18:09. 2008/09/10 00:04 38528 -- ------ جيم : \ النوافذ \ system32 \ السائقين \ mbamswissarmy.sys
2008-09-21 18:09. 2008/09/10 00:03 17،200 -- ------ جيم : \ النوافذ \ system32 \ السائقين \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR>د -------- جيم : \ ملفات البرنامج \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR>د -------- جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ الحكماء تركيب معالج
2008-09-20 23:40. 2008-09-20 23:40 <DIR>د -------- جيم : \ ملفات البرنامج \ تريند مايكرو
2008-09-19 09:03. 2008-09-19 09:08 <DIR>د -------- جيم : \ النوافذ \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR>د -------- جيم : \ الوثائق وإعدادات \012466 \. housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR>دا ------ جيم : \ الوثائق وإعدادات \ كافة المستخدمين \ بيانات التطبيق \ الحرارة
2008-09-18 20:25. 2002-02-04 06:22 +1230336 -- ------ جيم : \ النوافذ \ system32 \ msxml4.dll
2008-09-18 20:25. 2007/09/14 05:01 922٬920 --------- جيم : \ النوافذ \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 +82432 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 +44544 -- ------ جيم : \ النوافذ \ system32 \ msxml4a.dll
2008-09-18 20:25. 2002/02/07 18:43 9679 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002/02/07 18:43 +9675 -- ------ جيم : \ النوافذ \ system32 \ msxml4.cat
2008-09-18 20:25. 2002/02/06 20:31 3،489 -- ------ جيم : \ النوافذ \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 -- ------ جيم : \ النوافذ \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو
2008-09-13 19:27. 2008-09-13 19:27 24 -- ------ جيم : \ النوافذ \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ ريال
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ شينغ المشتركة
2008-09-13 19:26. 2008-09-13 19:26 <DIR>د -------- جيم : \ ملفات البرنامج \ عام الملفات \ ريال
.
((((((((((((((((((((((((((((((((((((((((Find3M تقرير)))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008/09/22 05:14 8٬416 ---- فصيل عبد الواحد جيم : \ النوافذ \ system32 \ السائقين \ CDProbe.SYS
2008-09-22 05:14 16 -- ش -- ص جيم : \ MSCIOTL.SYS
2008-09-22 05:14 --------- ----- د ث ج : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات
2008-09-22 03:07 --------- ----- د ث ج : \ ملفات البرنامج \ عملاء سيسكو الشبكات الافتراضية الخاصة
2008/09/20 19:26 430816 -- ش -- ث جيم : \ ملفات البرنامج \ _MsInfo.msi
2008-09-19 03:25 --------- د -- ح -- ث جيم : \ ملفات البرنامج \ InstallShield تركيب المعلومات
2008-09-19 03:25 --------- ----- د ث ج : \ ملفات البرنامج \ ThinkVantage
2008-09-19 03:21 --------- ----- د ث ج : \ ملفات البرنامج \ ينوفو
.
(((((((((((((((((((((((((((((snapshot@2008-09-21_19.36.38.64)))))))))) )))))))))))))))))))))))))))))))
.
-- 2008/09/21 18:59:45 71٬370 فصيل عبد الواحد ---- جيم : \ النوافذ \ system32 \ perfc009.dat
2008/09/22 02:39:43 + 71370 ---- فصيل عبد الواحد جيم : \ النوافذ \ system32 \ perfc009.dat
-- 2008/09/21 18:59:45 +439832 ---- فصيل عبد الواحد جيم : \ النوافذ \ system32 \ perfh009.dat
2008/09/22 02:39:43 + 439832 ---- فصيل عبد الواحد جيم : \ النوافذ \ system32 \ perfh009.dat
.
ريج (((((((((((((((((((((((((((((((((((((تحميل نقاط)))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* ملاحظة * & إدخالات فارغة شرعي التقصير لا تظهر الإدخالات
REGEDIT4
[HKEY_CURRENT_USER \ البرمجيات \ مايكروسوفت \ ويندوز \ Curre ntVersion \ تشغيل]
"ctfmon.exe" = "جيم : \ النوافذ \ system32 \ ctfmon.exe" [2004-08-04 15360]
"ياهو! البيجر" = "جيم : \ ملفات البرنامج \ ياهو \ رسول \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز \ بالعملة entVersion \ تشغيل]
"IgfxTray" = "جيم : \ النوافذ \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "جيم : \ النوافذ \ system32 \ hkcmd.exe" [2007-08-15 162328]
"الثبات" = "جيم : \ النوافذ \ system32 \ igfxpers.ex ه" [2007-08-15 137752]
"ccApp" = "جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccApp.exe" [2006-03-24 53408]
"vptray" = "جيم : \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "جيم : \ ملفات البرنامج \ عام الملفات \ صوتي \ تحديث مدير \ sgtray.exe" [2003-08-18 110592]
"بدل المعيشة للعجزة" = "جيم : \ النوافذ \ system32 \ بدل المعيشة للعجزة \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "جيم : \ PROGRA ~ 1 \ ThinkPad \ UTILIT ~ 1 \ EzEjMnAp. إكس" [2007-04-26 243248]
"LPManager" = "جيم : \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"TVT المبرمج الوكيل" = "جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "جيم : \ ملفات البرنامج \ عام الملفات \ ريال \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" = "tp4mon.exe" [2004-08-03 جيم : \ النوافذ \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 جيم : \ النوافذ \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 جيم : \ النوافذ \ system32 \ TpShocks.exe]
[HKEY_USERS \. الافتراضي \ برامج \ مايكروسوفت \ ويندوز \ الوغد rentVersion \ تشغيل]
"الاتصال" = "جيم : \ ملفات البرنامج \ مايكروسوفت أوفيس الاتصال \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ \ بالعملة entversion \ سياسات \ نظام]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. الافتراضي \ برامج \ مايكروسوفت \ نوافذ \ لئيم rentversion \ سياسات \ اكسبلورر]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ winlogon \ تخطر \ tpfnf2]
2006-09-06 13:37 34344 جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ winlogon \ تخطر \ tphotkey]
2006-12-14 08:06 28672 جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ tphklock.dll
[HKEY_LOCAL_MACHINE \ نظام \ currentcontrolset \ contro ل \ خدمة اللوجيستيات]
التوثيق الحزم REG_MULTI_SZ msv1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ مركز الأمن \ رصد \ SymantecAntiVirus]
"DisableMonitoring" = dword : 00000001
[HKLM \ ~ \ الخدمات \ sharedaccess \ بارامترات \ firewallpo licy \ standardprofile \ AuthorizedApplications \ قائمة]
"٪ windir ٪ \ \ system32 \ \ sessmgr.exe" =
"جيم : / ملفات البرنامج \ \ ياهو! \ \ رسول \ \ YahooMessenger.exe" =
"جيم : / ملفات البرنامج \ \ ياهو! \ \ الماسنجر \ \ YServer.exe" =
R0 Shockprf ؛ Shockprf ؛ جيم : \ النوافذ \ system32 \ السائقين \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN ؛ TPDIGIMN ؛ جيم : \ النوافذ \ system32 \ السائقين \ ApsH M86.sys [2007-03-02 19760]
R2 smefs ؛ SMEFileSystem ؛ جيم : \ النوافذ \ system32 \ السائقين \ ن خ efs.sys [2006-02-08 20508]
R3 CdProbe ؛ CdProbe ؛ جيم : \ النوافذ \ system32 \ السائقين \ cdprob e.sys [2008-09-21 8416]
R3 smedrv ؛ SMEDriver ؛ جيم : \ النوافذ \ system32 \ السائقين \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc ؛ دائرة إدارة الطلب ؛ جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi ؛ yraebbgi ؛ جيم : \ النوافذ \ system32 \ السائقين \ bynp ea.sys []
S2 yrtxzgwh ؛ yrtxzgwh ؛ جيم : \ النوافذ \ system32 \ السائقين \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ نوافذ الإقليم الشمالي \ currentversion \ svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista -- rootkit / الشبح Gmer بها للكشف عن البرامج الضارة ، http://www.gmer.net
Rootkit مسح 2008-09-21 22:16:04
نوافذ 5.1.2600 حزمة الخدمة 2 NTFS
عمليات المسح الخفية...
مسح تشغيل تلقائي القيود الخفية...
مسح الملفات المخفية...

جيم : \ النوافذ \ system32 \ calc.exe
مسح بنجاح
الملفات المخفية : 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ نظام \ ControlSet001 \ الخدمات \ ألف ppMgSvc]
"ImagePath" = "جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ MSINFO \ MsInfo.msi"
.
--------------------- DLLs محمل تحت ادارة العمليات ---------------------
العملية : جيم : \ النوافذ \ system32 \ winlogon.exe
--> جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ tphklock.dll
.
------------------------ عمليات التشغيل الأخرى ----------------------- --
.
جيم : \ النوافذ \ system32 \ ibmpmsvc.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ S24EvMon.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccSetMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ ccEvtMgr.exe
جيم : \ ملفات البرنامج \ عام الملفات \ سيمانتيك المشتركة \ SPBBC \ SPBBCSvc.exe
جيم : \ ملفات البرنامج \ Lavasoft \ الاعلانية إدراكا - \ aawservice.exe
جيم : \ ملفات البرنامج \ إنترنت إكسبلورر \ IEXPLORE.EXE
جيم : \ CENTENN.IAL \ المراجعة \ CAgent32.exe
جيم : \ CENTENN.IAL \ المراجعة \ xferwan.exe
جيم : \ ملفات البرنامج \ عملاء سيسكو والشبكة الخاصة الافتراضية \ cvpnd.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DefWatch.exe
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ EvtEng.exe
جيم : \ ملفات البرنامج \ عام الملفات \ مايكروسوفت المشتركة \ VS7DEBUG \ MDM.EXE
جيم : \ ملفات البرنامج \ إنتل \ اللاسلكية \ بن \ RegSrvc.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ SavRoam.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ Rtvscan.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ tvt_reg_monitor_svc.exe
جيم : \ النوافذ \ system32 \ TPHDEXLG.exe
جيم : \ ملفات البرنامج \ عام الملفات \ ينوفو \ المبرمج \ tvtsched.exe
جيم : \ _integra \ بن \ ccmagent.exe
جيم : \ ملفات البرنامج \ ينوفو \ تحديث النظام \ SUService.exe
جيم : \ _integra \ بن \ shstart.exe
جيم : \ النوافذ \ system32 \ igfxsrvc.exe
جيم : \ ملفات البرنامج \ ينوفو \ HOTKEY \ TPONSCR.exe
جيم : \ ملفات البرنامج \ ينوفو \ تكبير \ TpScrex.exe
جيم : \ ملفات البرنامج \ سيمانتيك مكافحة الفيروسات \ DoScan.exe
جيم : \ ملفات البرنامج \ ياهو \ رسول \ Ymsgr_tray.exe
جيم : \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
وقت الانتهاء : 2008-09-21 22:17:28 -- أعيد تشغيل الآلة
ComboFix - الحجر الصحي files.txt - 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
قبل تشغيل : 64.509.464.576 بايت حرة
بعد تشغيل : 64.505.421.824 بايت حرة
181

**evilfantasy** · #10 21st سبتمبر 2008 ، 22:26

تنزيل OTMoveIt2 بها OldTimerوحفظه إلى حسابك المكتبي.

ملاحظة : إذا كنت تعمل على ويندوز فيستا ، وانقر على الحق واختر OTMoveIt2.exe أما مدير ادارة.

1. انقر نقرا مزدوجا فوق OTMoveIt2.exe لتشغيله.
2. نسخة الخطوط في codebox أدناه.

الرمز :

[قتل مستكشف] جيم : \ النوافذ \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ نظام \ ControlSet001 \ الخدمات \ AppMgSvc EmptyTemp [بدء مستكشف]

3. العودة إلى OTMoveIt2 ، انقر على الحق في لصق قائمة ملفات / المجلدات لنقل نافذة (تحت العارضة الصفراء) ، واختيار لصق
4. انقر فوق الحمراء Moveit! زر.
5. نسخة عن كل شيء في النتائج نافذة (في إطار الاخضر بار) ولصقها في الرد الخاص بك المقبل.
6. إغلاق OTMoveIt2

علما: إذا كان الملف أو المجلد لا يمكن نقلها على الفور قد يطلب منك إعادة تشغيل الكمبيوتر لإتمام عملية الانتقال. اذا طلب إعادة التشغيل ، اختر نعم. إن لم يكن ، على أي حال تشغيل الكمبيوتر.

أدوات الخيط
وتظهر نسخة للطبع أرسل هذه الصفحة