mercoledì 16 giugno 2010

Guida Combofix

Combofix

link downloadhomepage/guida
compatibilità: 2000, XP, Vista, 7  (supporto per i 64bit solo Vista e 7)

Alcune infezioni come Bagle impediscono il salvataggio del file combofix.exe già dal suo scaricamento, in questo caso mentre lo scarichi salvalo subito con altro nome (con Internet Explorer) oppure scaricalo da un altro pc e rinominalo prima di copiarlo sul pc infetto.


Utilizzo:

Per il log classico:
  • Disattiva eventuali protezioni realtime di antivirus, antispyware, firewall e moduli HIPS (normalmente tasto dx sulla relativa icona accanto all'orologio e seleziona disattiva/disable...) qui alcuni esempi
  • Scarica da ComboFix dal link sopra, rinominalo se necessario e spostalo sul desktop
  • Chiudi ogni altra finestra o programma, lancialo e accetta le condizioni. (se non parte rinominalo con un nome a caso)
  • Alla richiesta di installare la "Windows Console di ripristino di emergenza" scegli tranquillamente No e partirà la scansione
  • Attendi pazientemente senza toccare nulla
  • Lascia riavviare il pc per terminare le eliminazioni, qualora te lo chiedesse e attendi sempre senza fare altre operazioni
  • Al termine verrà visualizzato/indicato l'indirizzo del log far visionare

Log:
Il log da caricare si trova in C:\ComboFix.txt
Se combofix dovesse girare, più volte carica il log che trovi in C:\Qoobox\combofix.txt con il N° più alto poichè i più vecchi vengono rinominati in modo incrementale ed eventualmente anche ComboFix-quarantined-files.txt


Rimuovere la "Windows Console di ripristino di emergenza" se precedentemente installata:
valido per windows 2000 e XP
  • abilita la visualizzazione dei files nascosti / di sistema
  • apri il file C:\boot.ini ed elimina la riga
    C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    dovresti avere un file boot.ini di nuovo uguale al precedente (tranne il valore timeout che puoi rimettere a 30) che trovi in C:\boot.bak da aprire con blocco note per la verifica
  • cancella la cartella nascosta C:\CMDCONS da modalità provvisoria tramite programmi come unlocker

Avvertenze:
Non compatibile Windows 2000 e XP a 64bit

Portabilità:
Nel caso il pc da disinfettare abbia problemi con internet o non ce l'abbia proprio, devi semplicemente copiarti su una chiavetta il file scaricato, che sarà già aggiornato

Disinstallazione/Rimozione
Da rimuovere, solo a fine pulizia altrimenti verrano cancellati eventuali falsi positivi spostati in quarantena
Disattiva tutti i software di sicurezza
Start → esegui → digita combofix /uninstall e premi invio.
Poi rimuovi il file combofix.exe che hai scaricato e il log combofix.txt in c:\
Se non dovesse disinstallarsi perchè qualche software di sicurezza ha eliminato qualche file di combofix necessario anche per la disinstallazione, disattiva i software di sicurezza, riscaricalo e lancialo senza fare la scansione e poi disinstallalo.