• Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы

SPYWARE-RU.COM

Меню
  • Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы
В начало › Помогите сориентироваться с логом Combofix-а!
Adguard
 

Помогите сориентироваться с логом Combofix-а!

Удаление вирусов и троянов. Защита компьютера. › Помощь в удалении вирусов, троянов, рекламы и других зловредов › Помогите сориентироваться с логом Combofix-а!

  • This topic has 1 ответ, 2 участника, and was last updated 14 years, 12 months назад by Admin.
Просмотр 2 сообщений - с 1 по 2 (из 2 всего)
  • Автор
    Сообщения
  • 20 октября, 2010 в 12:00 пп #18767
    archiViki
    Participant
    • Темы:1
    • Сообщений:1
    • ☆

    Здравствуйте всем!
    Спасибо огромное за инструкцию по удалению троянов с автораном! Все программы успешно сработали, ничего не полетело, странные папки с троянами на флэшках при их открытии появляться перестали, файл авторан — тоже.
    Но в инструкции прочла, что это ещё не полная гарантия — мол, где-то могут затаиться ещё трояны… А это не радует, ибо у нас уже несколько файлов рабочих удалилось троянами, а скоро учебный проект сдавать. Касперский обнаруживает не всё, это уже проверено. Можно ли что-то сказать по логу?
    (Я почти абсолютный ламер, сама ориентируюсь оооочень долго)

    Вот сам файл от комбофикса:

    ComboFix 10-10-19.03 — Sergey 20.10.2010 14:07:53.1.2 — x86
    Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1513 [GMT 4:00]
    Running from: c:documents and settingsSergeyРабочий столComboFix.exe
    Command switches used :: c:documents and settingsSergeyРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    AV: Антивирус Касперского *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:documents and settingsAll UsersДокументыSettings
    c:documents and settingsSergeyApplication Dataavdrn.dat
    c:documents and settingsSergeyApplication Dataygmdrm.exe
    c:documents and settingsSergeyoashdihasidhasuidhiasdhiashdiuasdhasd
    C:restore
    c:windowssystem32configsystemprofileoashdihasidhasuidhiasdhiashdiuasdhasd
    c:windowssystem32driverslgazrv.sys
    c:windowssystem32fjhdyfhsn.bat
    c:windowssystem32raddrv.dll
    c:windowssystem32zip32.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .


    Legacy_lgazrv


    Service_lgazrv

    ((((((((((((((((((((((((( Files Created from 2010-09-20 to 2010-10-20 )))))))))))))))))))))))))))))))
    .

    2010-10-19 16:47 . 2010-10-19 20:03 113933 —-a-w- c:windowssystem32driversklin.dat
    2010-10-19 16:47 . 2010-10-19 20:02 97549 —-a-w- c:windowssystem32driversklick.dat
    2010-10-19 16:46 . 2010-10-20 09:40


    d


    w- c:documents and settingsAll UsersApplication DataKaspersky Lab
    2010-10-19 16:46 . 2010-10-19 16:46


    d


    w- c:program filesKaspersky Lab
    2010-10-19 16:30 . 2010-10-19 16:30


    d


    w- c:documents and settingsAll UsersApplication DataKaspersky Lab Setup Files
    2010-10-19 14:54 . 2009-11-02 10:41 9216 —-a-w- c:windowssystem32driversmassfilter.sys
    2010-10-19 14:54 . 2009-11-02 10:41 105088 —-a-w- c:windowssystem32driversZTEusbnmea.sys
    2010-09-22 19:39 . 2010-09-22 19:39 1409 —-a-w- c:windowsQTFont.for

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    «QIP Internet Guardian»=»c:documents and settingsSergeyApplication DataQipGuardQipGuard.exe» [2010-07-26 188416]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    «nwiz»=»nwiz.exe» [2008-03-11 1626112]
    «NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-03-11 13520896]
    «NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-03-11 86016]
    «Acrobat Assistant 7.0″=»c:program filesAdobeAcrobat 7.0DistillrAcrotray.exe» [2004-12-13 483328]
    «NeroCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
    «SunJavaUpdateSched»=»c:program filesJavajre1.6.0_03binjusched.exe» [2007-09-24 132496]
    «ISUSPM Startup»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2005-08-11 249856]
    «autodetect»=»c:windowssystem32SupportAppXLAutoDect.exe» [2009-05-26 122368]

    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2004-08-17 15360]

    c:documents and settingsAlexѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
    Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-3-16 113664]

    c:documents and settingsAll Usersѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
    Adobe Acrobat Speed Launcher.lnk — c:windowsInstaller{AC76BA86-1033-0000-7760-000000000002}SC_Acrobat.exe [2008-9-30 25214]
    HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2009-5-21 275768]

    [HKLM~startupfolderC:^Documents and Settings^Sergey^Главное меню^Программы^Автозагрузка^algkir32.exe]
    path=c:documents and settingsSergeyГлавное менюПрограммыАвтозагрузкаalgkir32.exe
    backup=c:windowspssalgkir32.exeStartup

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupreg36X Raid Configurer]
    2007-03-21 16:23 1953792


    r- c:windowssystem32xRaidSetup.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregASUSGamerOSD]
    2008-03-25 07:15 380928 —-a-w- c:program filesASUSGamerOSDGamerOSD.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregautodetect]
    2009-05-26 11:35 122368 —-a-w- c:windowssystem32SupportAppXLAutoDect.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
    2004-08-17 12:04 15360 —-a-w- c:windowssystem32ctfmon.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregEDLauncher]
    2002-03-28 09:32 81920 —-a-w- c:program filesPRMT6PRMTEDEDLauncher.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregGrooveMonitor]
    2006-10-26 21:47 31016 —-a-w- c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregISUSPM Startup]
    2005-08-11 13:30 249856 —-a-w- c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregISUSScheduler]
    2005-08-11 13:30 81920 —-a-w- c:program filesCommon FilesInstallShieldUpdateServiceissch.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregJMB36X IDE Setup]
    2007-03-20 14:36 36864


    r- c:windowsRaidToolxInsIDE.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQuickTime Task]
    2007-10-19 16:16 286720 —-a-w- c:program filesQuickTimeQTTask.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
    2007-03-21 14:49 16126464


    r- c:windowsRTHDCPL.exe

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
    «AntiVirusOverride»=dword:00000001

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
    «DisableMonitoring»=dword:00000001

    [HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
    «%windir%\system32\sessmgr.exe»=

    R0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [14.10.2009 20:18 36880]
    R0 pe3anlqb;Unreal Tournament 3 Environment Driver (pe3anlqb);c:windowssystem32driverspe3anlqb.sys [09.11.2007 9:40 65160]
    R0 pf2anlqb;Unreal Tournament 3 File System Driver (pf2anlqb);c:windowssystem32driverspf2anlqb.sys [09.11.2007 9:39 83592]
    R0 ps7anlqb;Unreal Tournament 3 Synchronization Driver (ps7anlqb);c:windowssystem32driversps7anlqb.sys [09.11.2007 9:39 68752]
    R2 mi-raysat_3dsMax2009_32;mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit;c:program filesAutodesk3ds Max 2009mentalraysatelliteraysat_3dsMax2009_32server.exe [10.03.2008 1:04 65536]
    R2 r_server;Remote Administrator Service;c:windowssystem32r_server.exe [16.01.2010 21:18 724992]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32driversklim5.sys [14.09.2009 13:42 32272]
    R3 klmouflt;Kaspersky Lab KLMOUFLT;c:windowssystem32driversklmouflt.sys [02.10.2009 18:39 19472]
    S2 pr2anlqb;Unreal Tournament 3 Drivers Auto Removal (pr2anlqb);c:windowssystem32pr2anlqb.exe svc —> c:windowssystem32pr2anlqb.exe svc [?]
    S3 66f05f2ec405c8b3;66f05f2ec405c8b3;??c:windowsTEMP6560a56fa8e8 —> c:windowsTEMP6560a56fa8e8 [?]
    S3 adusbser;AnyDATA USB Device for Legacy Serial Communication;c:windowssystem32driversadusbser.sys [21.02.2009 11:21 93440]
    S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:windowssystem32driversatl01_xp.sys [17.09.2008 23:55 38656]
    S3 c17e3c41fa50613e;c17e3c41fa50613e;??c:windowsTEMP6200bcdfc4a8 —> c:windowsTEMP6200bcdfc4a8 [?]
    S3 dba97c7fbf5fee48;dba97c7fbf5fee48;??c:windowsTEMP6160584d1c60 —> c:windowsTEMP6160584d1c60 [?]
    S3 massfilter;ZTE Mass Storage Filter Driver;c:windowssystem32driversmassfilter.sys [19.10.2010 18:54 9216]
    S3 PortTalk;PortTalk;c:windowssystem32driversPortTalk.sys [19.09.2008 23:46 3567]
    S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:program filesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [23.09.2005 7:01 2799808]

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    .


    Supplementary Scan


    .
    uStart Page = hxxp://www.mail.ru/
    uDefault_Search_URL = hxxp://search.qip.ru
    uInternet Connection Wizard,ShellNext = iexplore
    uSearchAssistant = hxxp://search.qip.ru/ie
    IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
    IE: Convert link target to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
    IE: Convert link target to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert selected links to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convert selected links to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
    IE: Convert selection to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
    IE: Convert selection to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
    IE: Convert to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
    IE: Convert to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
    .
    .


    File Associations


    .
    .scr=AutoCADScriptFile
    .
    — — — — ORPHANS REMOVED — — — —

    HKCU-Run-wuaucldt — c:documents and settingssergeywuaucldt.exe
    MSConfigStartUp-mprsvf Security Service — c:recyclerS-51-9-25-3434476501-1644491961-601003314-1214mprsvf.exe
    MSConfigStartUp-Trickler — c:program filesdivxdivx pro codecgain_trickler_3202.exe
    MSConfigStartUp-wuaucldt — c:windowssystem32wuaucldt.exe
    AddRemove-048FFFFFFF12FF00FF2001F00F02F000-R1 — g:vikaУчёба 4 курс 1 семестр (2009)Компьютерная графикаОсновополагающее ИУП ArchiCADUninstall.TGEuninstaller.exe

    [HKEY_LOCAL_MACHINESystemControlSet001Services66f05f2ec405c8b3]
    «ImagePath»=»??c:windowsTEMP6560a56fa8e8″

    [HKEY_LOCAL_MACHINESystemControlSet001Servicesc17e3c41fa50613e]
    «ImagePath»=»??c:windowsTEMP6200bcdfc4a8″

    [HKEY_LOCAL_MACHINESystemControlSet001Servicesdba97c7fbf5fee48]
    «ImagePath»=»??c:windowsTEMP6160584d1c60″
    .


    LOCKED REGISTRY KEYS



    [HKEY_USERSS-1-5-21-1060284298-764733703-725345543-1004SoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.*]
    @Class=»Shell»

    [HKEY_USERSS-1-5-21-1060284298-764733703-725345543-1004SoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.*OpenWithList]
    @Class=»Shell»
    «a»=»WINWORD.EXE»
    «MRUList»=»a»
    .


    DLLs Loaded Under Running Processes



    — — — — — — — > ‘explorer.exe'(248)
    c:windowssystem32msi.dll
    .


    Other Running Processes


    .
    c:windowsATKKBService.exe
    c:program filesCommon FilesAutodesk SharedServiceAdskScSrv.exe
    c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
    c:windowssystem32nvsvc32.exe
    c:windowssystem32RUNDLL32.EXE
    c:program filesAdobeAcrobat 7.0DistillrAcroDist.exe
    c:program filesAdobeAcrobat 7.0Acrobatacrobat_sl.exe
    c:program filesHPDigital ImagingbinhpqSTE08.exe
    c:program filesHPDigital Imagingbinhpqbam08.exe
    .
    **************************************************************************
    .
    Completion time: 2010-10-20 14:19:19 — machine was rebooted
    ComboFix-quarantined-files.txt 2010-10-20 10:19

    Pre-Run: 63 988 637 696 байт свободно
    Post-Run: 64 489 082 880 байт свободно

    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
    [operating systems]
    c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
    UnsupportedDebug=»do not select this» /debug
    multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /fastdetect /NoExecute=OptIn

    — — End Of File — — 07F92ACFBC70F7F65314BBAE0D698E9B

    21 октября, 2010 в 5:52 пп #31674
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Здравствуйте, добро пожаловать на Spyware-ru форум.

    Необходимо ещё поработать.
    Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

    RegLock::
    [HKEY_LOCAL_MACHINESystemControlSet001Services66f05f2ec405c8b3]
    [HKEY_LOCAL_MACHINESystemControlSet001Servicesc17e3c41fa50613e]
    [HKEY_LOCAL_MACHINESystemControlSet001Servicesdba97c7fbf5fee48]

    Driver::
    66f05f2ec405c8b3
    c17e3c41fa50613e
    dba97c7fbf5fee48

    Запишите получившийся файл на ваш рабочий стол под именем CFScript
    Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

    Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
    По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

  • Автор
    Сообщения
Просмотр 2 сообщений - с 1 по 2 (из 2 всего)
  • Для ответа в этой теме необходимо авторизоваться.
Войти

Добро пожаловать

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.

Поиск

Последние темы

  • Странность в Malwebytes опубликовано Artem225
    5 years, 11 months назад
  • SUSPICIOUS.FakedMBR.1 что делать, помогите!!! опубликовано White
    5 years, 12 months назад
  • Помогите пожалуйста вирус замучил. опубликовано dimazons1233211
    6 years, 2 months назад
  • Замучила реклама опубликовано Данила Беспятов
    6 years, 3 months назад
  • Замучила реклама опубликовано Марк
    6 years назад
  • Вирус S1.video.ru.net опубликовано ludovik
    6 years, 5 months назад
  • Чертов Safe Finder!!!! опубликовано kosta savo
    6 years, 2 months назад
  • ESET блокирует неизвестный сайт , вход на который не осуществлялся. опубликовано trollhamaren
    6 years, 6 months назад

СПАЙВАРЕ РУ

  • О Спайваре Ру
  • Контакты
  • Реклама на сайте
  • Политика конфиденциальности
  • Правила использования

Нужна помощь?

Задайте свой вопрос прямо сейчас кликнув по следующей ссылке Задать вопрос.

Или обратитесь на наш форум, где команда Spyware-ru поможет вам. Узнайте, как попросить о помощи здесь.

Ссылки

  • Инструкции
  • Скачать программы
  • Помощь в удалении вирусов
  • Как вылечить компьютер
Copyright © 2008 - 2024 Spyware-RU.com (en)