Решена проверьте пожалуйста логи

  • Автор темы Автор темы Jelum
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

Jelum

Новый пользователь
Сообщения
6
Реакции
0
Os: Windows 7 32 Rus
Antivirus+Firewall: COMODO
Плюс иногда делаю проверку Spy-Bot, но в основном на host.

Поставил программу EssentialPIM Pro 3.53, там же было лекарство.
При использовании прога вылетала. Решил снести, а за одно проверить что она оставила после себя. Обнаружил папку ElevatedDiagnostics в Roaming.
Погуглил -> вышел на этот сайт и на microsoft'офский. там предложили провести проверку на kido -> internet Explorer запускался на секунды, а потом гас.

сделал проверку combofix.
посмотрите пожалуйста логи

Вопрос - шо делать дальше?
можно удалить combofix и продоложить пользоваться компом или нужны ещё какие телодвижения?

P.S. после проверки нашёл папку C:\\Qoobox с удалёнными файлами и reg'ами. Internet Explorer нормально запустился.
 
Последнее редактирование:
Jelum, использование СF неподготовленным пользователем может привести к краху системы.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
combofix-uninstall.jpg



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

И давайте подготовим стандартные логи... для спокойствия.
 
спасибо за оперативность. делаю
 
логи
 
Последнее редактирование:
Jelum, Логи AVZ и HJT ещё сделайте, пожалуйста... Это и есть стандартные логи, о которых я попросила)
 
оставшиеся

Спасибо :)
 
Последнее редактирование:
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Активного заражения не вижу.
 
нашёл в логе avz строку
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\WOW

в warcraft я не играю. там же есть подпункты boot, boot.description. может это оно?
 

Вложения

Последнее редактирование:
в warcraft я не играю. там же есть подпункты boot, boot.description. может это оно?
Нет, это полезные записи и мой вердикт не изменился.

Опишите подробнее проблемы компьютера.
 
после работы combofix никаких проблем я не заметил.

до combofix'a internet explorer не открывался.

и была подозрительная папка в appdata\local.

если всё ок, можно закрывать тему. спасибо за помощь.

один вопрос - а что это за папка WOW - я знаю, что это символ warcraft'a?
 
Jelum, не совсем MS тоже используют эту аббревиатуру в реестре.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW

Раздел содержит подразделы и значения, управляющие теми параметрами автозагрузки, которые влияют на приложения MS-DOS и приложения, созданные для 16-битной Windows 3.x.

Добавлено через 2 минуты 1 секунду
Более полное описание.
Windows for MS-DOS on Windows NT

Windows NT is a 32-bit environment, and Windows 3.x for MS-DOS is a 16-bit environment. For a 16-bit Windows-based application, Windows NT runs the application using a VDM and VDDs. This process is called WOW (for Win16 on Win32). Using a Win16 VDM, Windows NT translates Windows 3.1-based application calls in standard mode for RISC-based computers and in 386 enhanced mode for x86 based-computers.

Control parameters for WOW startup and for the WOW application environment are found under the following registry path:
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \WOW

The settings in this key are maintained automatically by the system and should not require manual changes.

The environment settings equivalent to the System.ini file for Windows 3.x are found in the following registry path:
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT\CurrentVersion\WOW

The WOW subkeys have the same names as headings in the System.ini file, and the values are the same items contained in the old System.ini file. For details about these entries, see the Regentry.hlp file on the Windows NT Workstation Resource Guide compact disc.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу