PDA

Просмотр полной версии : Как сделать лог с помощью утилиты ComboFix ?



snifer67
26.10.2009, 11:03
Скачайте ComboFix здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe*), когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению (или запакуйте C:\ComboFix.txt и прикрепите к сообщению).
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в [email protected]

*)При запуске Combofix проверит наличие установленной консоли восстановления. Если у Вас установленная консоль восстановления отсутствует, Вы будете об этом проинформированы и Вам будет предложено, установить её перед дальнейшими действиями с Combofix. Дополнительную информaцию о консоли восстановления Вы можете получить на страницах портала Microsoft: http://support.microsoft.com/kb/314058/ru

thyrex
03.11.2009, 20:58
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall (см. картинку) , нажмите кнопку "ОК"

http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up

Rene-gad
23.11.2009, 15:28
Combofix является мощным инструментом в борьбе с вредоносным ПО.
К сожалению в отличие от других подобных приложений в программе не предусмотрена возможность вмешательства пользователя в её работу.
Это ведёт иногда к потере важных данных, ошибочно отнесённых программой к вредоносному ПО.

Внимание: Перед операциями восстановления обязательно посоветуйтесь с Вашим хелпером!!!

Если у Вас после работы Combofix наблюдаются проблемы с ОС или с тем или иным приложением, поступаем следующим образом:

- Открываем созданную Combofix папку [корневой каталог]:\Qoobox, в стандартном случае C:\Qoobox. В этой папке находятся подкаталоги:
--Quarantine
--BackEnv
и файлы
--Add-Remove Programs.txt - тут содержится список установленных программ, соответствует панели установки/удаления приложений.
--ComboFix-quarantined-files.txt - тут содержится список удалённых и закарантиненных в процессе работы Combofix файлов.
--SnapShot@[дата сканирования]_[рандомный номер].dat - список файлов системной папки %windir% (в стандартном случае C:\WINDOWS) и подкаталогов.

-Открываем папку ..\Qoobox\Quarantine. В этой папке находятся подкаталоги:
--Папка с именем корневого каталога (в стандартном случае ...C)
--Папка с сохранёнными ключами реестра Registry_backups
и файл
--catchme.log

-Открываем папку ..\Qoobox\Quarantine\C. В этой папке находятся те подкаталоги, из которых были удалены или закарантинены файлы. При этом сохранена оригинальная структура системного диска, так что теперь восстановить ошибочно удалённые файлы не составит труда.
Нужно просмотреть или, запустив поиск WINDOWS по имени файла, найти копию файла. Имя файла сохранено, но ему присвоено расширение *.vir (например goodfile.com.vir). Если Вы уверены, что этот файл не является вредоносным, переименуйте его, удалив последнее расширение *.vir (например goodfile.com.vir-->> goodfile.com) и переместите его на место.

Пример:

Файл находился по адресу:

C:\Documents and Settings\User\Антивирусы\goodfile.com
Combofix переместил его по адресу:

C:\Qoobox\Quarantine\C\Documents and Settings\User\Антивирусы\goodfile.com.vir
Вы должны вернуть файлу его оригинальное имя и восстановить по оригинальному адресу.
Если Вы НЕ уверены, что этот файл не является вредоносным, пришлите его нам по правилам раздела Помогите (Приложение 2 и 3).

Восстановить ключ реестра из папки C:\Qoobox\Quarantine\Registry_backups можно, переименовав файл - например goodkey.reg.dat в goodkey.reg. После переименования запустите файл двойным щелчком, подтвердите внесение изменений в реестр.