قد يعاني البعض منا و خاصة الذين يدخلون مواقع للكراك أو مواقع البحث عن سيريلات البرامج أو البرامج الروسية الكاملة من صفحة إقلاع في المتصفح و هذه الصفحة عادة تكون كما هو الرابط

[فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]

أي أنك عندما تفتح المتفح الإكسبلور تجد أنه يعتمد آليا على صفحة معينة يختارها حاسوبك بدون إستشارتك و تفشل كل الجهود لإعادة المتصفح إلى حاله الطبيعية أي أنك لو قمت بكتابة صفحة البداية مثلا صفحة الجوجل [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]

فإن المتصفح لا يدعم ذلك و بكل بساطة يتجاهلك السر في ذلك هو فيروس صغير و مجموعة تروجينات زرعت في حاسوبك خلسة و تدس نفسها في قلب الويندوز لديك في أي قلب النظام
أخوكم رمح الليل وقعت له هذه المشكلة و جعلتني لا أدخل حتى مواقعي المفظلة و كذلك بطء في التصفح نتيجعة عمل هذا الفيروس مع أن كل برامج مكافحة الفيروسات لم تتعرف إلى المشكلة كذلك أقوى برامج البحث عن التروجينات و ملفات التجسس لم تعطيني حلا و لم تكتشف الحل بحثت و بإذن الله توصلت إلى هذا الحل :

إنه برنامج تجسس يزرع نفسه في قلب الويندوز و يكاد يكون إستحالة حذفه شاهدوا اي يعمل

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\atipatxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\dev32.exe
C:\WINDOWS\System32\ahtun.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\RoxyFox\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = [فقط الأعضاء المسجلين يمكنهم رؤية الروابط. ]
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [atipatxx] C:\WINDOWS\System32\atipatxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{BDA661B3-070A-4973-B8D1-619019A5C91E}\SECURITY.EXE
O4 - HKLM\..\RunServices: [atipatxx] C:\WINDOWS\System32\atipatxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [atipatxx] C:\WINDOWS\System32\atipatxx.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: ntfs32 - C:\WINDOWS\SYSTEM32\ntfs32.dll
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Ghhiql32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Provides three management service (FreeBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe
O23 - Service: Debug oupost relations (LAGOS) - Unknown owner - C:\WINDOWS\System32\ahtun.exe
O23 - Service: Provides five management service (NetBSD) - Unknown owner - C:\WINDOWS\System32\dev32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

ما تخافوا الحكاية بسيطة و أقولها للإخوة المبتدئين هذه العناوين التي فوق و الخلابيط و الرموز لا تهتم لها فهي عناوين الوصول إلى فروع ملف التجسس و ملفات التروجان قلب هذا الفيروس و قلب ملف التجسس هذا ليس هنا بل كل ما رأيتموه هو فروع لا أكثر .

إسم الفيروس أو التروجان هو

paytime.exe

و موجود بقلب النظام هنا

C:\WINDOWS\System32\paytime.exe

و كذلك احيانا له فروع و هي على التوالي

C:\WINDOWS\System32\dev32.exe
أو
C:\WINDOWS\System32\ahtun.exe
أو
C:\WINDOWS\System32\atipatxx.exe

إذا الحل !!

الحل هو أولا أعد إعادة تشغيل جهازك و عند ظهور أول كتابة تحت الدوس أي الكتابة بالأبيض في أول إقلاع جهازك إضغط بإستنمرار على F8 و بذلك سوف يتم تشغيل جهازك بالوضع الآمن
و هذا الوضع هو يقل الويندوز من عمل البرامج و يشغل بعضها فقط أو يشغل فقط أهم البرامج الأصلية لجهازك .

طيب دخلنا للجهاز في الوضع الآمن إذهب إي أيقونة البحث في جهازك أكتب هذه العبارة و هي سم
paytime.exe

و هو إسم الملف المعطوب أو الملف المفريس إبحث عنه داخل جهازك و إذا وجدته قطعه تقطيع أي بسم الله إحذفه فورا و نهائيا من جهازك و أدعوا لرمح الليل بخير ليس هناك اي خطر بتاتا من حذف هذا المف و أنا جربته و الحمد لله كله تمام .

ثم أعد تشغيل جهازك بكل أمان عادي يعني و غير صفحة البداية في جهازك كما تشاء سوف يسرع التصفح و كله تمام التمام .

الموضوع منقول