Combofix, Podstawowy opis tworzenia raportu oraz sposobu kasacji infekcji. Opcje

[Tomasz Jedut]

Combofix

 Combofix___01.JPG ( 3.3K ) Liczba pobrań: 88

Linki do programu:
Combofix.exe

Bardzo dobre narzędzie do kasacji różnej maści infekcji, potrafi bardzo dużo jeżeli jest używany przez kompetentną osobę. Można przy jego pomocy usunąć nawet ciężkie do usunięcia infekcje. Dodatkowo program tworzy raport informujących nas o min.: ostatnio utworzonych i zmodyfikowanych plikach, skasowanych plikach i infekcjach, pokazuje pliki ukryte, wpisy kluczy RUN, usługi i wiele innych cennych informacji pozwalających nam zlokalizować szkodliwe programy. Program jest w miarę prosty w podstawowym użyciu a wygenerowanie raportu sprowadza się do kilku kroków. Ze względu na rozbudowanie narzędzia na niektórych komputerach mocno zainfekowanych program może długo działać zanim skończy swoje zadania tworząc na końcu raport

Tworzenie raportu:
Po uruchomieniu programu pokaże się okno z ostrzeżeniem w którym klikamy na Tak (Yes) jeżeli chcemy by program został uruchomiony.

 Combofix___02.JPG ( 41.19K ) Liczba pobrań: 85

Od tej chwili program już automatycznie zacznie swoje działanie, na początek stworzy "backup" rejestru.

 Combofix___03.JPG ( 14.22K ) Liczba pobrań: 44

Następnie program przejdzie przez szereg kroków (etapów) aż do około 48 etapu. Trwać to będzie kilka minut przy sporym zainfekowaniu komputera czas może się znacząco wydłużyć, może też dojść do wymuszonego restartu systemu.

 Combofix___04.JPG ( 71.01K ) Liczba pobrań: 47

Na koniec program wygeneruje raport (log.txt), log ten należy zapisać i wysłać na pomoc małpa mks kropka com kropka pl bądź skopiować i zamieścić w dziale "Logi do sprawdzenia" najlepiej w tagach [ quote ]. Kopia logu znajduje się w pliku C:\ComboFix.txt.

 Combofix___05.JPG ( 308.49K ) Liczba pobrań: 62

Tworzenie skryptu do kasacji infekcji:
Skrypt do kasacji jest zwykłym plikiem tekstowym o rozszerzeniu *.txt, najlepiej taki plik nazwać CFScript, inaczej Combofix wyświetli informację:

 Combofix___06.JPG ( 7.81K ) Liczba pobrań: 92

W odpowiedzi na zamieszczony przez nas raport z Combofixa możemy dostać na przykład taką oto odpowiedź:

File::
C:\pagefile.sys.vbs
C:\Windows\pagefile.sys.vbs

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{323e19ea-75bf-11dc-8649-00138fb96dbd}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e42f58f2-6caa-11dd-8b6e-00138fb96dbd}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f2260340-0131-11dc-9573-00138fb96dbd}]

Folder::
C:\RECYCLER

Driver::
mervo

Informacje te należy zapisać (skopiować) do pliku tekstowego wcześniej otwierając notatnik a plik zapisać pod nazwą CFScript. Następnie plik taki przeciągamy na ikonę Combofix. Wygląda to mniej więcej w ten sposób:

 CFScript.gif ( 45.06K ) Liczba pobrań: 83

Po tych operacjach Combofix zacznie wykonywać skrypt kasacji na końcu generując raport (log.txt) który należy ponownie pokazać na forum aby upewnić się że wszystko jest już wykasowane.