Dlaczego nie polecamy ComboFix początkującym

ComboFix nie jest jak myślą sobie w zdecydowanej większości użytkownicy skanerem antywirusowym. Nazwa aplikacji składa się z dwóch członów - pierwszy z nich dotyczy zaszytych wewnątrz kilku pomniejszych narzędzi skanująco-modyfikujących, Fix dotyczy zaś wprowadzanych przez program zmian w konfiguracji systemu Windows.

Niedawno w IDG.pl pojawił się artykuł pt. "Jak wyczyścić komputer z wirusów i śmieci". Wśród wielu metod walki z robakami i wirusami, wspomnieliśmy też o ComboFix, pomijając zagrożenia, jakie wynikają z korzystania z tego typu oprogramowania.

Narzędzie ComboFix bywa nazywane złotym środkiem i bombą antywirusową. Okazuje się jednak, że nieumiejętne korzystanie z programu, przynieść może więcej kłopotu niż pożytku.

Przeczytaj artykuł Arkadiusza Zakrzewskiego, specjalisty pomocy technicznej AVG. pl i sam zdecyduj, co zrobić z popularnym narzędziem.

"Proces skanująco - naprawczy przeprowadzany przez program to po pierwsze analiza plików utworzonych w ciągu ostatnich 30 dni w kluczowych lokacjach systemu Windows, AUTOMATYCZNE usunięcie bez potwierdzenia przez ComboFix plików uznanych przez niego za szkodliwe, skan kluczy rejestru odpowiedzialnych za autostart w systemie Windows i uruchomienie narzędzia wyszukującego rootkity - GMER.

Wyróżniłem nie bez powodu automatyczne usuwanie bo odbywa się to bez potwierdzenia przez użytkownika. O ile z mniej dramatycznych przypadków utrata notepad.exe czy mspaint.exe nie jest wielkim problemem to dla niektórych strata msconfig.exe czy cmd.exe może już być zaskoczeniem.

Z innych akcji, które ComboFix podejmuje bez naszego potwierdzenia to wyłączenie autostartu w systemie Windows, Przywrócenie IE jako domyślnej przeglądarki, wyłączenie usług sieciowych na czas skanowania co czasem kończy się problemem ze wznowieniem połączeń sieciowych i internetowych po ponownym uruchomieniu komputera i przerejestrowanie niektórych bibliotek systemowych z użyciem regsrv32.

FlashGet to jeden z wielu programów, które przestają działać po zastosowaniu narzędzia ComboFix.

FlashGet to jeden z wielu programów, które przestają działać po zastosowaniu narzędzia ComboFix.

Bardzo często zdarza się, że na etapie usuwania automatycznego uszkadzane są aplikacje użytkownika przez usunięcie niektórych z wymaganych plików. Sztandarowym przykładem jest tu np. FlashGet.

Z ostatnich spraw, o których należy pamiętać - ComboFix po ukończeniu analizy tworzy log w postaci pliku Combofix.txt. Cały proces bez analizy tego pliku przez osobę biegłą w pracy z programem jest bezcelowy. Analiza loga i w razie potrzeby utworzenie odpowiedniego CFScript.txt jest niezbędne dla poprawnego ukończenia procesu skanowania i oczyszczania systemu. Naprawdę szeroka wiedza o systemach Windows jest niezbędna do poprawnego zrozumienia informacji w sekcjach Find3M czy sekcji dotyczącej plików DLL ładowanych pod uruchomionymi procesami.

Do najczęściej popełnianych błędów przez użytkowników bezapelacyjnie należy uruchamianie ComboFix w systemie x64. Nie istnieją natywne wersje narzędzi wchodzących w skład Combofixa dla platform x64, GMER nie potrafi poprawnie wykonać skanowania, bo system x64 wymaga podpisanych cyfrowo sterowników. Analizy GMER w systemie 64-bitowym kończą się BlueScreenem. Tuż za atakowaniem systemów x64 jest uruchamianie programu w systemach rodziny Server - te również nie są wspierane!

Uważaj! ComboFix nie współpracuje z systemami 64-bit i rodziną systemów Windows Server.

Uważaj! ComboFix nie współpracuje z systemami 64-bit i rodziną systemów Windows Server.

Uruchomienie ComboFix w systemie, którego stan jest w ogóle nieznany bo oceniany przez niedoświadczonego użytkownika bądź totalnego laika, który idzie za popularną na forach poradą "daj log z ComboFix" może skończyć się całkowitym unieruchomieniem Windows w przypadku wejścia aplikacji w interakcję z infekcją.

Jeśli mimo wszystko musisz skorzystać z ComboFix i upierasz się przy swoim to nie ignoruj informacji z procesu uruchamiania programu - zawsze instaluj konsolę odzyskiwania Windows - jeśli coś pójdzie nie tak, masz szansę uratować swój system. Twórz punkt przywracania systemu. Na monit o nieaktualnej wersji programu uaktualnij ją. Przed przystąpieniem do uruchomienia ComboFixa wyłącz ochronę rezydentną Twojego programu antywirusowego bo może dojść do niepożądanej interakcji.

Na koniec pamiętaj, że do Tworzenia logów istnieją nieinwazyjne narzędzia jak DDS czy OTL, a do wyszukiwania rootkitów GMER. Doświadczona osoba, która będzie w stanie Ci pomóc poradzi sobie tylko na podstawie logów z OTL+GMER. HijackThis, choć bardzo popularny, totalnie mija się z tematem usuwania infekcji. Płaszczyzna działań HJT jest zupełnie inna"

Zobacz też:

Blog techniczny AVG.PL [red. Arek Zakrzewski]


Zobacz również