No replies to this topic

[angelique]

Guida veloce a ComboFix

Introduzione

ComboFix è un programma gratuito creato da sUBs che esegue la scansione del computer alla ricerca di malware conosciuto: Vundo, SurfSideKick, Look2Me, QooLogic alcune varianti di Bagle etc...(il database viene costantemente aggiornato) elimina i fastidiosi CID (pop-up pubblicitari) ed anche un importante numero di rootkit, grazie al modulo AWF controlla la presenza di cartelle bak, tipica infezione del Trojan.Win32.Obfuscated.dr, possiede il modulo "catchme" di Gmer per trovare i files con attributo nascosto, permette inoltre di riparare un eventuale TCP/IP corrotto.
Al termine della scansione (stage di lavoro) visualizza un log (combofix.txt) che contiene tutte le operazioni di rimozione effettuate più una grande quantità di informazioni che un esperto può utilizzare per diagnosticare e rimuovere eventuali infezioni che non sono state automaticamente rimosse. Inoltre esegue un backup dei file eliminati, che saranno poi disponibili in C:\QooBox.

Il programma appare molto essenziale tanto da sembrare una shell di XP/Vista, appena avviato crea una copia di backup, ovvero un punto di ripristino del vostro Sistema Operativo, ed una copia del vostro registro di configurazione per possibili ripristini di emergenza, per mezzo di ERUNT.

Una volta effettuate le procedure di Backup, verrete disconnessi da internet ed inizierà la procedura di scansione vera e propria.

NB: In genere Combofix viene segnalato dal software per la sicurezza come file sospetto, ciò a causa del suo componente anti-rootkit che opera iniettando del codice in altri processi.
Ecco perchè prima di effettuare la scansione è consigliabile chiudere tutti i programmi di sicurezza.

L'autore del software consiglia in primo luogo di provare a riparare il Sistema con l'ausilio della Recovery Console | Microsoft Aiuto & Supporto


L'ultima versione di ComboFix può essere prelevata da questi link:

• BleepingComputer.com
  
• ForoSpyware.com
  
• GeeksTogo.com

Chiudete tutti i programmi di sicurezza, scaricate ComboFix da uno di questi link e salvatelo sul desktop.





Come Eseguire Combofix ed ottenere il log:

Se usate Xp, doppio clic su Combofix.exe

Se usate Vista eseguite come amministratore
tasto destro sull'icona rossa, esegui come...



Riceverete un avviso di Windows perchè il programma non possiede firma digitale, state tranquilli e cliccare su Esegui



Se usate Vista confermate UAC (Controllo Account Utente)

Ora combofix si prepara a lavorare...



Attendete con pazienza fino alla comparsa di questa finestra dove potete leggere il Disclaimer



Premete SI e seguite le indicazioni.

Durante le operazione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

Il tool eseguirà un veloce controllo e se dovesse trovare che nel vostro PC non fosse installata la Recovery Console, vi darà la possibilità di farlo.
Se scegliete di procedere con l'operazione dovrete rimanere connessi per poter scaricare il setup dell'installazione.





A questo punto Combofix creerà un punto di ripristino configurazione di sistema, utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.



Una volta concluso il backup inizierà la scansione, questa operazione richiederà un tempo variabile (da 10 minuti ad 1 ora) a seconda della quantità di file da ispezionare e dal grado di infezione presente, durante la scansione, il programma chiuderà la vostra connesione, porterà indietro l'ora per verificare eventuali ingerenze da programmi esterni.



Ora combofix sta analizzando il pc, dividendo il lavoro in stage, (50) attendete pazientemente il termine delle operazioni senza interferire.



Terminate queste operazioni, raccoglierà le informazioni per creare il report dell'analisi.



A conclusione di tutto verra rilasciato un file di testo come questo.




Nella prima parte vengono riportate le eventuali eliminazioni, il resto del log è da analizzare a cura di un esperto, che vi indicherà eventuali malware sfuggiti alla prima pulizia e la migliore soluzione per rimuoverli.

Combofix oltre a scansionare e ripulire, può essere usato per la rimozione di file, cartelle e chiavi di registro che non si fanno eliminare.
E' una operazione molto delicata che deve essere seguita da un esperto, i comandi vengono impartiti tramite uno script chiamato CFScript che basterà rilasciare sull'icona di Combofix.



Esempio:

File::
C:\WINDOWS\system32\cfen32i.dll
			
Registry::
[-HKLM\SYSTEM\CurrentControlSet\Services\6TO4]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1d6e095c-87d1-11dc-8429-0016d412ae6c}]
"german"=-
			
Folder::
C:\WINDOWS\temp

NB: notate il segno meno (-) per le chiavi di registro; nel primo caso viene richiesta la cancellazione di un'intera chiave del registro di Windows
mentre nel secondo solamente del valore specificato ("german").

Fate molta attenzione a non usare lo script alla leggera, fatevi sempre consigliare da un esperto, perchè
se usato in maniera sbagliata, può compromettere in maniera piu o meno grave la stabilità del sistema su cui viene eseguito.


Questo/a opera è pubblicato sotto una Licenza Creative Commons.