VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

Log z combofixu

https://forum.viry.cz:443/viewtopic.php?t=142668

Stránka 1 z 1

Re: Log z combofixu

Napsal: 27 led 2015 17:34
od Rudy
Zdravím!
Proč spouštíte ComboFix, utilitu určenou pouze profesionálům? Hodláte si nabořit systém, nebo některou aplikaci?

Otevřte poznámkový blok a zkopírujte do něj:
KillAll::

File::
c:\windows\system32\drivers\70495066.sys

Driver::
70495066

Regnull::
[HKEY_USERS\S-1-5-21-2589586905-3191904785-2408246734-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{AE6B4E00-5D98-5E48-4E74-E510C3EBA7F1}*]

Reglock::
[HKEY_USERS\S-1-5-21-2589586905-3191904785-2408246734-1000\Software\Monotype Inc.\S*k*y*F*o*n*t*s*"!\AutoUpdate]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

Reboot::
Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

Obrázek

Re: Log z combofixu

Napsal: 27 led 2015 19:48
od Rudy
Atronach píše:Z nějakého důvodu jsem si myslel, že ComboFix provede pouze sken a nic nebude mazat automaticky.
To je velký omyl. Základní sken je buď RSIT: http://forum.viry.cz/viewtopic.php?f=13&t=130786 , nebo FRST: http://forum.viry.cz/viewtopic.php?f=13&t=133100 . Bez těchto skenů nepožádáme uživatele o CF.

Spustil jste skript, který smaže to, co je v něm předepsáno a v tomto případě také odemkne uzamčené klíče. Dejte log po skenu, abychom věděli, že je vše smazáno.

Re: Log z combofixu

Napsal: 27 led 2015 21:00
od Rudy
Pokud byl problém, který jste řešil vyřešen, není třeba.

Re: Log z combofixu

Napsal: 27 led 2015 21:14
od Rudy
KillAll znamená smaž vše.

Sekce driver deaktivuje obecně ovladače. Příkaz se používá při deaktivaci fake driverů a rootkitů.

Sekce file maže soubory

Sekce RegLock odemyká klíče (pokud je to možné)

a konečně sekce Regnull hodnotu klíče nuluje.

Nezdá se vám něco?

Re: Log z combofixu

Napsal: 27 led 2015 21:35
od altrok
Atronach píše:
Proč spouštíte ComboFix...
Z nějakého důvodu jsem si myslel, že ComboFix provede pouze sken a nic nebude mazat automaticky.
...CF se spustí a vykoná příkazy ze skriptu.
Co jsem to vlastně spustil? Rád bych tomu porozuměl. Není dobře, když člověk jenom slepě vykonává nějaké skripty/příkazy na vlastním PC. Nějakou podrobnější dokumentaci jsem ke ComboFixu nenašel, všechny návody jenom říkají, že mám poslat log odborníkovi, ale pokud nechci čekat na odpověď na nějakém fóru, kde se můžu naučit sám si takový skript vytvořit? Díky.
Omlouvam se za vstup, ale toto mi neda nereagovat... Vas zpusob uvazovani mi prijde proste naopak...

Prvne na internetu najdete program, ktery nekdo doporucuje a ten zkratka pouzijete (mohlo se jednat o ruzne roguewary typu SpyHunter nebo jeste lip produkty, ktere Vam pocitac kompletne odrovnaji... typicky IObit, optimizery a nebo se proste mohlo jednat o jakykoliv malware), pak prijdete na bezpecnostni forum, ale zde uz cloveku, ktery se Vam snazi pomoct, neverite.
Proc nespoustet ComboFix? vizte pravidla fora... dale se jedna o agresivni a velice ucinnou antimalwarovou utilitu, ktera muze v urcitych pripadech zpusobit az nenabootovani PC. Manual nenajdete - neni siroke verejnosti dostupny. Navic maze po haveti stopy, ktere ani v logu neda vedet a pak je informacni hodnota skenovacich utilit nula nula nic... proto je nutne pred jeho pouzitim prozkoumat log z jine skenovaci utility.

Re: Log z combofixu

Napsal: 27 led 2015 22:43
od Rudy
OK. Chválím vám, že se chcete něco naučit. Nicméně CF (jak už kolega naznačil) je utilita dost zrádná. V každém případě je třeba udělat nejprve sken těmi utilitami, které popisuji výše. Bez nich se ani nikdo z nás neodváží navrhnout uživateli sken CF. Přidám další příklad: CF maže i některé regulérní programy (např. český účetní program ÚČTO). A za poslední: Autor té utility dává kompletní dokumentaci k dispozici pouze uživatelům, kteří jsou schopni se na její užívání zaškolit. Opravdu to není jednoduché, těch příkazů je daleko více, než jsem ve vašem případě použil a i chybně napsaný skript dokáže systém poškodit. CCleaner je opravdu korektní utilita k optimalizaci PC.
Všechny časy jsou v UTC+01:00
Stránka 1 z 1

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz