Skocz do zawartości

Dezynfekcja: narzędzie ComboFix


picasso

Rekomendowane odpowiedzi

 

logo.gif

ComboFix

BleepingComputer.com: oficjalna instrukcja użycia

Platforma: Windows XP, Windows Vista, Windows 7, Windows 8 32-bit (x86) i 64-bit (x64)
Licencja: freeware do użytku domowego i niekomercyjnego

Nieobsługiwane systemy operacyjne: Windows XP 64-bit, Windows 2000, Windows 8.1, Windows 10 i platformy serwerowe

 

 

Proszę nie stosować ComboFix bez nadzoru! Aplikacja o mocnej sile rażenia przeprowadzająca usuwanie specyficznych infekcji, stosowana awaryjnie w działach dedykowanych usuwaniu Malware pod okiem specjalistów dysponujących dostateczną wiedzą o procedurach narzędzia. To nie jest ani normalny skaner codziennego użytku, ani tym bardziej generator prostego raportu stanu systemu w trybie tylko do odczytu. To silna ingerencja i modyfikacja Windows. Bardzo niepożądane jest jego używanie na własny rachunek, w sytuacjach gdy jest to całkowicie zbędne, lub nawet niebezpieczne. Program ten należy stosować tylko wtedy, gdy padnie z naszej strony taka prośba na forum. Kiedy pada taka prośba? Jeśli na podstawie opisu objawów oraz raportów wymaganych ogłoszeniem stwierdzimy, że jego uruchomienie jest bezpieczne (na tyle na ile to można wnioskować z przesłanek) lub pożądane (usunięcie określonej infekcji). Cały poniższy opis użytkowy ma służyć przeprowadzeniu ze zrozumieniem przez proces użytkowników, których poprosiliśmy o jego zastosowanie. Ten opis nie jest po to, by osoby niedoświadczone samodzielnie w domu częstowały się i prowadziły jakieś "regularne skany"! W kwestii samego opisu, jest to mój tutorial uzupełniony o pewne rzeczy, aczkolwiek jedynym autoryzowanym jest tłumaczenie na Bleeping.

Obowiązkowe przygotowania przed uruchomieniem
Pobieranie i uruchomienie właściwe programu
Kopie zapasowe / Przywracanie systemu
Skutki uboczne stosowania ComboFix
Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy




Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Obowiązkowe przygotowania przed uruchomieniem

 

 

Kolidujące oprogramowanie:

 

Uruchamianie programu jest obwarowane licznymi zasadami antykolizyjnymi.

 


Oprogramowanie zabezpieczające:

ComboFix ze względu na swoją naturę i skład specjalistycznych narzędzi może być obiektem zainteresowań programów antywirusowych, które błędnie ocenią zjawisko kasując z ComboFix jego składniki już podczas pobierania narzędzia na dysk. Kolejnym dysonansem może być zetknięcie się samej procedury ComboFix z pracującą tłowo ochroną, z konsekwencją zaburzeń działania czy uszkodzeń systemowych. Proszę przed pobraniem i uruchomieniem ComboFix wyłączyć wszystkie programy ochronne (antywirus / firewall ...).


Emulatory napędów (Alcohol / DAEMON Tools etc.)

Sterowniki wirtualnych napędów działają według technik rootkit-podobnych. Ten typ wchodzi w konflikt, zarówno na płaszczyźnie działania ComboFix, jak i usuwania potencjalnej infekcji. Programy tego typu powinny zostać całkowicie odinstalowane przed uruchomieniem ComboFix.

 

Obowiązkowe kroki do wykonania opisane w wątku: Oprogramowanie emulujące napędy

 

 


Mechanizmy ratunkowe:

 

Przed uruchomieniem ComboFix należy zaopatrzyć się w Konsolę Odzyskiwania / Dysk Odzyskiwania, ponieważ skutki uruchomienia ComboFix są nieprzewidywalne i może pojawić się sytuacja, że system już się nie uruchomi. Niedoświadczony użytkownik nie poradzi sobie sam i prawdopodobnie skończy się na reinstalacji Windows. Proszę dokładnie przeczytać w linkach jak się nimi posługiwać, oraz wątek przywracania z kopii zapasowych utworzonych przez ComboFix.

 

 


orb_medium.pngWindows Vista / Windows 7:


--------> orb_small.pngOpis startu do Środowiska Odzyskiwania (WinRE)

Moduł Napraw komputer / Repair computer jest dostępny z poziomu pełnego DVD instalacyjnego Windows Vista / Windows 7. Dodatkowo na Windows 7 jest wbudowany lokalnie i dostępny z menu startowego wywołanego klawiszem F8, a na zasadzie wyjątku można to spotkać także w Vista (znanym mi producentem jest Dell). Posiadając taki typ DVD lub opcję w menu F8 wystarczy tylko przeczytać linkowany opis jak z tego skorzystać w omawianym tu kontekście.

Proszę przeczytać w jaki sposób skorzystać z modułu "Napraw komputer", by przywrócić system w razie katastrofy po użyciu ComboFix:

--------> orb_small.pngPrzywracanie systemu
 

 

 


flag_medium.pngWindows XP:


--------> flag_small.pngOpis i użytkowanie Konsoli Odzyskiwania

Konsola Odzyskiwania jest dostępna według dwóch metod: z poziomu instalacyjnej CD Windows XP lub jako instalacja ręczna na dysku twardym. Jeśli posiadacie płytkę Windows, poniższe kroki nie są konieczne. Jeśli natomiast płytki nie ma (zwłaszcza laptopy = Recovery CD nie ma Konsoli!), skorzystajcie z jednego z tych sposobów do wyboru.


1. SAMOSTARTUJĄCA CD:

Udostępniam minimalistyczną płytę (~7MB) mojego autorstwa, zawierającą tylko Konsolę Odzyskiwania. Płytka została wytworzona z oferowanych przez Microsoft dysków rozruchowych w wersji XP SP2 PL. Jej wersja jest nieistotna, w sensie że niezależnie od stanu Service packa Waszego zainstalowanego systemu i tak będzie działać / wykona zadania. Czyli mając XP bez SP lub XP SP3 proszę się "nie zastanawiać" czy pójdzie. Powinna bootować bez problemu. Należy ściągnąć obraz ISO i wypalić na CD za pomocą Active ISO Burner. To będzie ratunkowa płytka, z której wchodzi się do Konsoli.

Pobierz

Proszę przeczytać w jaki sposób skorzystać z tej płyty, by przywrócić system w razie katastrofy po użyciu ComboFix:

--------> flag_small.pngPrzywracanie systemu


2. MONTAŻ KONSOLI NA DYSKU:

ComboFix ma wbudowane montowanie konsoli na dysku. Można wywołać to na dwa różne sposoby:
  • Automatyczne zainstalowanie Konsoli Odzyskiwania. Podczas normalnego uruchomienia ComboFix, program przeprowadza detekcję, czy na dysku jest już zainstalowana Konsola. Zgłasza jej brak i pozwala poprzez stosowanie się do dialogów jej automatyczne zainstalowanie. Patrz na opis zlokalizowany w następnym poście jak ten proces wygląda.
  • Ręczne zainstalowanie Konsoli Odzyskiwania, poprzez poinstruowanie ComboFix jeszcze przed jego normalnym uruchomieniem. Instrukcja ta w większości przypadków nie jest konieczna do wdrożenia. Opis w spoilerze, by nie zakłócał odbioru całości przekazu.

 

 


Procedura polega na pobraniu z poniższego linka paczki dyskietkowej zgodnej z wersją Service Packa zainstalowanego w systemie (XP SP3: proszę pobrać wariant XP SP2):

Dyski rozruchowe Instalatora systemu Windows XP

Po ściągnięciu paczki nie należy jej uruchamiać ani rozpakowywać na własną rękę. Należy ją po prostu przeciągnąć i upuścić na ikonę ComboFix jak na poniższym obrazku. ComboFix w trybie automatycznym zamontuje z tej paczki Konsolę Odzyskiwania na dysku. A co dalej, patrz opis.

cfrc5.gif
 



Proszę przeczytać w jaki sposób można przywrócić system w razie katastrofy po użyciu ComboFix:

--------> flag_small.pngPrzywracanie systemu
 

 

 

Odnośnik do komentarza

Pobieranie i uruchomienie właściwe programu

 

 

Założeniem jest, że poprawnie wykonano opisywane powyżej kroki i wyeliminowano kolidujące oprogramowanie. Czyli: wyłączona ochrona rezydentna oprogramowania zabezpieczającego, odinstalowane oprogramowanie emulujące napędy.

 

 


Instrukcja uruchomienia (automatyczne):

1. Narzędzie pobieramy z oficjalnego źródła tzn. BleepingComputer:

 


Pobierz

 

To jedyny autoryzowany link pobierania gwarantujący otrzymanie oryginalnej, poprawnej i aktualnej wersji programu. Proszę pod żadnym pozorem nie pobierać ComboFix z innych linków (istnieją sfałszowane serwisy pozorujące relacje), ani tym bardziej z torrentów (!) i Chomików. Jest także zabronione rehostowanie ComboFix na serwisach pośrednich i pokątne udostępnianie linków użytkownikom.
Jeśli oficjalny link nie działa, są dla tego określone powody: narzędzie usunięto chwilowo ze względów bezpieczeństwa (krytyczny błąd operacyjny) lub jest infekcja blokująca pobieranie. Ponawiam: proszę nie szukać alternatywnych linków pobierania. To w gestii prowadzącego pomoc podanie odpowiednich instrukcji.

 


Plik zapisujemy na Pulpicie.

cf.png


2. Uruchamiamy przez dwuklik. Vista - Windows 8: wymagane potwierdzenie dialogu UAC.

cfuac.png


3. Zgłosi się klauzula zrzeczenia gwarancji.

cfeula.png

Po jej potwierdzeniu program rozpakuje się na dysk twardy. Po chwili zastartuje niebieskie konsolowe okno programu.


4. Aktualizacja: ComboFix posiada moduł samoaktualizacji. Podczas uruchomienia sprawdza dostępność nowszych wersji, umożliwiając inicjowanie połączenia z serwerem i pobranie nowej kopii programu. Jeśli pojawi się komunikat poniższej treści, mimo możliwości pominięcia tego, należy wyrazić zgodę na aktualizację. Czasami pojawiają się całkowicie wymuszone aktualizacje, sygnowane jako "krytyczne", i jest to oczywista sprawa.

cfupdate.png

 

 


Łączenie z serwerami programu ComboFix . . .

################################## 48,5%

 

 

(Jeśli kopia, którą się posługujecie, jest przestarzała, ale nie będzie dostępna aktualizacja, narzędzie zaproponuje uruchomienie w "trybie zredukowanej funkcjonalności")


5. Detekcja osłon rezydentnych: Aplikacja wykonuje detekcję aktywnych osłon rezydentnych programów zabezpieczających, w celu eliminacji potencjalnych kolizji użytkowych. W przypadku obecności aktywnej ochrony dostaniemy komunikat z listą wykrytych programów. Należy się zastosować do prośby komunikatu i wyłączyć ochronę. Jeśli to nie nastąpi, zatwierdzenie jest już prowadzone na własne ryzyko.

cfresident.png
(Jeśli jest pewność, że w systemie nie ma zainstalowanego programu, a mimo to nadal są widoczne komunikaty o aktywnej ochronie, należy spojrzeć do spoilera)

 

 

 


Problem: Podczas uruchomienie ComboFix zgłasza komunikat o obecnościa osłony rezydentnej programu zabezpieczającego, którego w ogóle nie ma w systemie. To może być wynik nieadekwatnych danych WMI, co w wizualnej formie można spotkać również jako niezgodność danych Centrum zabezpieczeń / Centrum akcji (pokazującego fantomowe i nieobecne programy). Korekcja tego defektu jest opracowana szczegółowo w tutorialu.
 



6. Kopie bezpieczeństwa: ComboFix rozpocznie swoje działanie. Wstępem jest generowanie kopii bezpieczeństwa: próba utworzenia punktu Przywracania Systemu oraz kompleksowa kopia zapasowa rejestru zrzucona przy udziale zintegrowanego narzędzia ERUNT. Są to bardzo istotne kroki umożliwiające odzyskanie systemu w przypadku niepowodzenia jego startu po nieudanej dezynfekcji lub w wyniku innych niefortunnych okoliczności. Przypominam co musicie wiedzieć:

--------> orb_small.pngPrzywracanie systemu
--------> flag_small.pngPrzywracanie systemu
 


Proszę czekać.
ComboFix rozpoczyna działanie.

Próba utworzenia nowego punktu Przywracania Systemu

 


cferunt1.png


7. Konsola Odzyskiwania Windows XP (nie dotyczy systemów Windows Vista i Windows 7): ComboFix przeprowadza sprawdzanie na okoliczność jej obecności na dysku twardym. Brak tego mechanizmu jest notowany przez komunikat o treści:

 


Proszę czekać.
ComboFix rozpoczyna działanie.

Próba utworzenia nowego punktu Przywracania Systemu

 


cfrc1.png


Co odpowiedzieć i z czym to jest związane:

 

Tak - Zatwierdzenie instalacji Konsoli
Krok ten ogólnie jest silnie zalecany, a zwłaszcza musowy gdy:
  • brak jakiejkolwiek płyty CD (i możliwości jej wytworzenia) dającej dostęp do Konsoli Odzyskiwania
  • brak przeszkód ze strony samego systemu, by coś pobrać i zainstalować
  • jesteś początkujący, nie wiesz za dużo o systemie, przeraża Cię jego reinstalacja

Proces wynikający z zatwierdzenia jest opisany w spoilerze.
 

 


Zgoda na instalowanie Konsoli na dysku wywołuje łączenie do serwera Microsoftu:
 


Łączenie z hxxp://download.microsoft.com . . .

##################################################### 74,9%

 

 

Po uzyskaniu 100% pojawią się dwa komunikaty licencji użytkowej, do zatwierdzenia:

cfrc2.png

cfrc3.png

Uruchomiony proces instalacji jest bardzo szybki, z postępem ekstrakcyjnym, finalizowany komunikatem o pomyślnym przeprowadzeniu procesu:

 


Łączenie z hxxp://download.microsoft.com . . .

######################################################################## 100,0%

 


cfrc4.png

Na powyższym komunikacie wybranie odpowiedzi Tak umożliwi kontynuację skanowania za pomocą ComboFix (patrz następny punkt opisu). Jest także możliwe przerwanie działania poprzez odpowiedź Nie - w tym przypadku ComboFix kończy działanie i wyświetla w Notatniku plik CF-RC.txt pokazujący raport z modyfikacji pliku BOOT.INI Windows wykonanej przez akcję zainstalowania Konsoli.

 


 

 

 

Nie - Ominięcie instalacji Konsoli
Sytuacje, w których można pominąć ten krok:
  • posiadanie płyty dającej dostęp do Konsoli: instalacyjna CD XP (ale nie w wersji Recovery dołączanej do laptopów!) lub utworzona z mojego obrazu Konsola(fixitpc.pl).iso
  • ciężkie warunki systemowe uniemożliwiające pobranie czegokolwiek na dysk przy aktywnym połączeniu sieciowym albo też zupełny brak sieci w wyniku ingerencji infekcji
  • jesteś zaawansowanym użytkownikiem i wiesz o systemie dostatecznie dużo, by móc go postawić do życia niestandardowymi metodami

 


8. Skanowanie: Rozpoczyna się właściwa procedura skanująca. W tym momencie ComboFix rozłącza internet i jest to normalne. ComboFix będzie przywracał łączność w późniejszej fazie (jeśli to nie nastąpi = patrz sekcja Skutki uboczne). Teoretycznie skan zajmuje do 10 minut, ale mocno zainfekowane komputery mogą mieć skan trwający o wieeeele dłużej.

 


Skanowanie w poszukiwaniu zainfekowanych plików . . .
Zwykle operacja ta nie zajmuje więcej niż 10 minut
W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie
przedłużyć

 

 

Skan jest kilkuetapowy, co obrazują znaczniki "Etap_Numer". Aktualnie faz jest około 50 (liczba ta zmienia się wraz z aktualizacjami narzędzia) i wszystko przeczekać cierpliwie:

 


Ukończono etap_1
Ukończono etap_2
Ukończono etap_3

....

Ukończono etap_23
Ukończono etap_24
Ukończono etap_25
Ukończono etap_26
Ukończono etap_27
Ukończono etap_28
Ukończono etap_29
Ukończono etap_30
Ukończono etap_31

...


Jeżeli usuwane obiekty będą wymagały restartu komputera, ComboFix poprosi o to:

 


Ponowne uruchamianie systemu Windows ... Proszę czekać

Proszę zezwolić programowi ComboFix na ponowne uruchomienie komputera.

 

 

(Po restarcie systemu znów będzie zgłaszana detekcja ochrony tłowej, w razie konieczności proszę postąpić tak samo jak na początku)


9. Raport: Finałowo ComboFix oznajmi, że przygotowuje log:

 


Przygotowywanie wyniku skanowania.

Nie uruchamiaj żadnych programów, dopóki ComboFix nie zakończy swojego działania

 

 

To może dość długo potrwać i czekać cierpliwie, nie uruchamiać żadnych programów. Może na chwilę zniknąć Pulpit (= ComboFix resetuje powłokę explorer.exe). Na końcu pojawi się ostatni komunikat z "prawie gotowe", podający też, gdzie będzie umieszczony plik loga:

 


Prawie skończono . . To okno wkrótce się zamknie
Proszę poczekać kilka sekund na pokazanie się wyników skanowania

Log wygenerowany przez program ComboFix znajdziesz w C:\COMBOFIX.TXT

 

 

Po pomyślnym ukończeniu pracy ComboFix jego okno samoczynnie się zamyka. Zostanie automatycznie otworzony Notatnik z logiem, którego zawartość należy przekleić na forum.

cftaskbar.png

Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt. Jeśli ComboFix będzie uruchamiany więcej niż raz, pliki logów się rozmnożą i będą odpowiednio ponumerowane.



Instrukcja uruchomienia (zaawansowane):

Na forum na podstawie logów tworzymy specjalne instrukcje usuwające w postaci skryptów do ComboFixa. Skrypty te będą zawierały komendy kasacji obiektów. Takie skrypty zostaną podane konkretnemu użytkownikowi indywidualnie.

 

Są to skrypty unikatowe tworzone pod konkretny przypadek i proszę pod żadnym pozorem nie próbować ich w ciemno wykorzystywać! Proszę nie uruchamiać skryptów przeznaczonych do cudzych przypadków, pomimo zbieżności objawów! Proszę nie próbować samemu robić skryptów na podstawie "podpatrzenia" w cudzym poście!


Jeśli o to poprosimy, należy otworzyć Notatnik (żaden inny procesor tekstu, ComboFix jest niekompatybilny z resztą) i w Notatniku wkleić co podamy. Plik zapisać pod nazwą CFScript.txt. Ten plik ma zostać przeciągnięty i upuszczony na ikonę ComboFixa, dokładnie jak na obrazku:

cfscript.gif

To uruchomi ComboFix w specjalny sposób, to znaczy będzie poinstruowany, by wykonać usuwanie / modyfikacje przez nas zaplanowane. Jednakże wygląd operacji z poziomu użytkownika wygląda tak samo jak podczas normalnego uruchamiania ComboFix z dwukliku. Czyli będzie przechodzenie przez całą wyżej opisaną procedurę. Log robi się też w taki sam sposób.

 



Deinstalacja narzędzia:

ComboFix posiada swój własny przełącznik /uninstall prowadzący usuwanie narzędzia z systemu. Jest to jedyny w pełni prawidłowy sposób usuwania programu. Niech się nikomu nie wydaje, że skasowanie pliku ComboFix.exe, katalogu Qoobox i plików log to jest odpowiednik na ten mechanizm.

 

 

Odnośnik do komentarza

Kopie zapasowe



Kopia rejestru:

ComboFix przed rozpoczęciem swoich działań tworzy bardzo ważny zestaw kopii zapasowych: całościowy punkt Przywracania systemu oraz kopię rejestru za pośrednictwem programu ERUNT. Kopia rejestru zrobiona przez ERUNT ląduje w folderze C:\Windows\ERDNT\Hiv-backup:

cferunt2.png

(Proszę przeczytać opis ERUNT, by zrozumieć w pełni co to za obiekty)


Jak odzyskać rejestr? Zakładając, że coś się stanie i nastąpi fatalistyczny skutek usuwania infekcji / uszkodzenie plików rejestru (objaw: po uruchomieniu ComboFixa system już nie startuje), można przywrócić cały rejestr właśnie z folderu erdnt. Niestety to jest niemożliwe spod Windows (niestartującego). By móc wykorzystać kopię zapasową, należy:



orb_medium.pngWindows Vista / Windows 7:

1. Należy zastartować do modułu Napraw komputer / Repair computer:



2. Pojawi się menu wyboru:

winre7_menu.png

I tutaj są dwie możliwości, a preferowaną jest skorzystanie z tej pierwszej jako zdrowszej i kompletniejszej dla systemu:

----> Najprostsza to wybranie opcji Przywracania systemu / System Restore, korzystając z gotowego punktu Przywracania wytworzonego przez ComboFix przed rozpoczęciem jego działań dezynfekujących.

----> Druga możliwość to wybranie opcji Wiersz polecenia / Command Prompt i uruchomienie przywracania rejestru z kopii ERUNT. Polecenia rozkładają się na zmianę napędu na dysk systemowy, przejście do ścieżki kopii zapasowych, wywołanie wariantu EXE narzędzia:


X:\SOURCES>C:

C:\>CD C:\WINDOWS\ERDNT\HIV-BACKUP

C:\WINDOWS\ERDNT\HIV-BACKUP>erdnt.exe






flag_medium.pngWindows XP:

1. Zastartować do wspominanej już tutaj Konsoli Odzyskiwania.



2. W linii poleceń wpisać następujące komendy:


C:\WINDOWS>CD ERDNT\HIV-BACKUP

C:\WINDOWS\ERDNT\HIV-BACKUP>BATCH erdnt.con








Kopie usuniętych obiektów:

ComboFix, niezależnie w którym z trybów uruchomiony, tworzy własny folder kwarantanny C:\Qoobox\Quarantine:

cfquarantine.png


Jak przywrócić błędnie skasowany obiekt? O ile damy takie instrukcje: należy wejść do folderu C:\Qoobox\Quarantine. Będą tam dwa główne foldery, jeden trzymający pliki, drugi kopię kasowanych wpisów rejestru. Wszystkie pliki kasowane przez Combofixa dostają rozszerzenie *.vir, zaś wpisy rejestru *.dat. Należy usunąć to extra rozszerzenie. Pliki przywrócić do pierwotnej ścieżki. Wpisy rejestru zostaną przywrócone poprzez dwuklik na pliki *.reg.
Odnośnik do komentarza

Skutki uboczne stosowania ComboFix

 

Konsekwencje użycia:

1. Sieć: ComboFix podczas skanowania celowo wyłącza internet. Powinien go na samym końcu przed utworzeniem loga samoczynnie przywrócić. Niestety tak nie zawsze się dzieje i po operacji ComboFixa pada całkowicie sieć. Proszę nie panikować, tylko po prostu zresetować komputer. Jeśli to nie pomoże, wywołać ręczną naprawę połączenia:
  • Jeśli ikonka sieciowa jest obecna w zasobniku, tam spożyć opcję.
  • Jeśli ikonki brak, udać się do: Panel sterowania > Połączenia sieciowe > z prawokliku na wybrane wybrać opcję Reperacji (XP) lub Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Diagnozuj i napraw (Vista) | Rozwiązywanie problemów (Windows 7)
Jeśli jednak i to nie przywróci łączności, proszę zgłosić się na forum z logami wymaganymi naszym ogłoszeniem, podając detale i rodzaj połączenia sieciowego (telefoniczne / szerokopasmowe etc..).


2. Konsola Odzyskiwania: Skutkiem zamontowania (ważnej) Konsoli Odzyskiwania będzie pojawiające się przy każdym starcie komputera menu wyboru systemów. Menu to jest mało inwazyjne, zaplanowane z minimalnym czasem wyświetlania, a domyślną pozycją jest po staremu Windows XP (czyli i tak zostanie automatycznie załadowany). Jeśli komuś to przeszkadza, należy przeczytać poniżej linkowany tutorial w jaki sposób przeprowadza się deinstalację Konsoli Odzyskiwania z dysku. Na to składa się m.in. korekcja pliku BOOT.INI (poniżej jest zaznaczony na szaro fragment, który należy usunąć z pliku). Proszę się jednak zastanowić nad tym krokiem, bo ogólnie warto posiadać dodatkowe koło ratunkowe.

rcmenu.png

BOOT.INI

[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect





3. Autoodtwarzanie: Procedury ComboFix adresują infekcje rozprzestrzeniane via urządzenia przenośne USB (opis zlokalizowany w tutorialu poniżej), a w celu zabezpieczenia systemu są wprowadzane blokady Autoodtwarzania w rejestrze. Wynikową jest brak Autoodtwarzanie dysków, niezależnie od ich rodzaju (czyli np. płyta DVD z materiałem filmowym również nie wystartuje).




4. Domyślna przeglądarka: ComboFix resetuje ustawienia domyślnej przeglądarki. Jeśli w systemie jako domyślną wybrano inną niż Internet Explorer, po ukończeniu pracy ComboFix następuje powrót do standardu Microsoftu i typowy objaw to zgłoszenie komunikatu podobnego do prezentowanego niżej podczas startu przeglądarki alternatywnej. Należy ręcznie ustawić z powrotem Firefox / Opera etc. jako domyślną z poziomu opcji konfiguracyjnych tych przeglądarek.

cfbrowser.png


5. Modyfikowane Windows: "Rękodzieła domowe" przygotowane w sposób sztuczny charakteryzuje nie do końca normalny wygląd. ComboFix odnosi się zawsze do parametrów domyślnych Windows i nie bierze pod uwagę żadnych modyfikacji. Skutkiem uruchomienia procesu ComboFix na takich systemach może być usunięcie określonych plików systemowych, gdyż lokalizacje czy inne właściwości plików nie są zgodne z domyślnymi. To kolejny powód, dla którego stosowanie tego narzędzia powinno być ograniczone tylko do nadzoru osób obeznanych z jego działaniem.
Odnośnik do komentarza

Dlaczego na fixitpc.pl nie prosimy o "log z ComboFix" jako obowiązkowy




Przyklejone zasady w "działach bezpieczeństwa" innych miejsc w internecie, czyli sławna prośba o "log z ComboFix + HijackThis": na innych portalach (z przyzwoitości przemilczę) wiszą nieprofesjonalne i chore zasady zagrażające użytkownikom, a polegające na podawaniu "loga z ComboFix" bez żadnych przygotowań ot tak na starcie w pierwszym poście z prośbą o pomoc. Użytkownicy czytają tamtejsze zasady nie wykazując zainteresowania albo podejrzeń czy na pewno to wszystko jest bezpieczne i optymalnie dobrane. Może zacznijmy od argumentu nie do zbicia, czyli tego co ma na ten temat do powiedzenia sam autor programu ComboFix (a nie osoba pośrednia): KLIK. Pisząc po polsku i zrozumiale dla przeciętnego użytkownika:


Dlaczego nie
  • Nie jest znana w ogóle sytuacja systemu, i nie ma pewności czy uruchomienie tego programu nie wyeksportuje systemu użytkownika do grobu, albo czy jest konieczne jego używanie. System musi być wstępnie sprawdzony w inny sposób.
  • ComboFix to nie jest narzędzie do "tworzenia loga", tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system.
  • Użytkownicy, którzy prawdopodobnie mają czysty system, są w paskudny sposób zmuszeni do przejścia przez ingerencyjną rundę skanującą, tylko po to by "wytworzyć log"?! To nigdy nie jest w pełni "tylko-do-odczytu", a w skutek nieszczęśliwego zbiegu okoliczności czy pecha może się zdarzyć, że zostanie nawet pogorszony stan dotychczas sprawnego Windows.
  • Procedury ComboFix w szczególnych przypadkach mogą doprowadzić do uszkodzeń systemowych (błędne użycie programu, interakcja z określoną infekcją lub innym oprogramowaniem, nieprawidłowy restart komputera, błąd programowy etc...)
  • Uruchamianie ComboFix musi zostać zatwierdzone przez osobę, która prowadzi pomoc dla danego użytkownika, a jest dostatecznie wykwalifikowana, by umieć ocenić sytuację.
  • Osoba stosująca to narzędzie musi być pilotowana i poinformowana o środkach ostrożności
  • Praca tego narzędzia musi zostać zweryfikowana przez wykwalifikowaną osobę, w celu interpretacji czy pewne obiekty zostały skasowane w sposób słuszny, lub czy jest konieczne podjęcie specjalnych kroków odzyskowych albo czyszczących.
  • Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix"


Te przyklejone zasady na innych portalach bardzo zaszkodziły, bo zbagatelizowały moc programu i wytworzyły całkowicie błędne wrażenie, że ten proces jest zupełnie bezpieczny i "multi-funkcyjny".


Konsekwencje
  • Użytkownicy biorący ten program do ręki nie stosują się do "dialogów" programu i omijają procedury bezpieczeństwa (a jeśli nawet nie = to i tak nie wiedzą o co w tym chodzi), m.in. dlatego że albo brak takich wytycznych w obcych zasadach albo jest to umniejszone jakby było nieistotne, bo jak też można inaczej zrozumieć wykonanie obowiązkowego loga podkreślonego zasadami. Co drugi log ma znacznik "TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA". To jeszcze byłoby w porządku, gdyby użytkownik wiedział co to oznacza i posiadał wiedzę o alternatywie (płyta CD XP). Niestety, mam tu kilka całkiem niezłych przykładów działania na opak, tzn. na moje pytanie czy to celowe z ominięciem instalacji tego + czy jest w takim razie wiadome jak skorzystać z Konsoli padła odpowiedź negatywna ..... A nawet jeśli Konsola zostaje zainstalowana (przez bezrozumne klikanie "dalej"), to i tak użytkownik nie wie jak z niej skorzystać ... Poza tym, użytkownicy patrzą na proces chyba całkowicie bezmyślnie i nie interesują się co jest grane i np. po co do diaska działa tam w tle jakiś tajemniczy ERUNT tworzący kopię zapasową rejestru. Po co, skoro to przecież taki bezpieczny nieingerencyjny programik.....
  • Wystąpiły dewiacje użytkowe polegające na nadużywaniu oraz stosowaniu tego programu niezgodnie z jego przeznaczeniem tzn. do kompletnych bzdur, bądź też interwencji nie mających żadnych ale to żadnych kwalifikacji na wszczynanie tak potężnego mechanizmu. ComboFix nie służy do: usuwania plików i wpisów które mogą zostać wyeliminowane na tysiąc innych lekkich sposobów (pliki REG / BAT / inne programy o mniejszym stopniu ingerencji), zarządzania autostartem, czyszczenia drobnych nieaktywnych resztek, usuwania obiektów nie zablokowanych niczym. Jest masa narzędzi w arsenale, które wykonują tę robotę i czynią to w lepszy sposób, bez szkody dla użytkownika, a także zapewniają większą kontrolę nad instrukcjami i pozwalają "ptaszkami" odkręcać zmiany.
  • Bardzo mnie wkurzają tiki nerwowe różnych userów, którzy zaczynają widzieć jako solucję dla kogoś innego uruchomienie tego programu. Niezależnie od tego o czym napisał proszący o pomoc (np..... w dziale sprzętowym!!!!), pojawiają się niepożądane nonszalanckie prośby "daj log z ComboFix". Pardon. Moja rada: nie Tobie radzić w tej materii, bo nie jesteś tutaj moderatorem działu Malware i na naszym forum nie masz kwalifikacji uprawniającej Cię do zalecania tego programu (a i przypuszczalnie nawet nie umiesz ocenić pracy tego programu).
  • Przeciętny użytkownik komputera też zaczyna w ten sam sposób myśleć. Skoro widzi program: linkowany na portalu oprogramowania, krzyczący z "zasad podawania logów", oraz obserwuje że jego koledzy oraz osoby rzekomo wykwalifikowane (kwalifikacja jest mitem, bo pada prośba o log z CF jako obowiązkowy do pokazania!) w analizie logów tak hojnie nim szastają i używają przy byle okazji, nabiera przekonania, że jest to cudowny środek na wszystkie bolączki i "gumka systemowa". Zaczyna go stosować w domu przy każdym pojawiającym się problemie, regularnie się tym "skanować", przenosić na pendrive / pieścić na dysku systemowym. Zanotowane przez mnie absurdy: "skanuję się regularnie ComboFixem" (sic!), "przeskanowałem się ComboFixem ale nic nie wykrył" (sic!), dobrze widoczne w logach ścieżki dostępu kierujące do folderów o niebudzących wątpliwości sformułowaniach "D:\Przydatne programiki\Do usuwania syfu\ComboFix.exe" (sic!), "czy jest sposób jak puścić ComboFix na multi-maszynach w sieci" (sic!). I wreszcie są i takie rzeczy jak tragiczne konsekwencje samowoli.... skutek śmiertelny, bo użyć program potrafił ale już uratować system po jego zastosowaniu nie bardzo.
  • Szkodliwa popularyzacja narzędzia w linkowniach oprogramowania (zarówno polskich jak i zagranicznych). Jest to niezgodne ani z wolą autora, ani z gatunkiem programu. Ten program jest specyficznym narzędziem wewnętrznego użytku stosowanym tylko w określonych sytuacjach i na prośbę osób kwalifikowanych w miejscach ku temu przeznaczonych (forum dedykowane walce z malware). Upublicznianie tego w tak nachalny sposób łamie te zasady oraz prowadzi do szkód. Osoba linkująca ten program udawadnia, że nie rozumie jego budowy i przeznaczenia. Zaś osoby niedoświadczone widząc powszechny opis w kontekście linkowania, i to pozbawiony jakże ważnych elementów związanych z bezpieczeństwem użytkowym, czują się zachęcone do jego pobrania i stosowania we własnym zakresie. A to jest niedopuszczalne. To narzędzie nie jest skanerem typu CureIt czy Kaspersky Removal Tool. W moim dziale FREE Softu nie ma tego programu.
  • Narzędzie staje się z jakiś powodów niedostępne, i już wszyscy są jak bez ręki. Zarówno "analizatorzy", jak i sami użytkownicy. Tak jakby tylko ComboFix istniał na świecie. A jest przecież tyle różnych metod wytwarzania raportów oraz usuwania. Jeśli osoba prowadząca pomoc nie umie rozwiązać zadania bez pomocy ComboFix, to znaczy że nie zna się na tyle, by móc udzielać pomocy.



 

Jak postępujemy na fixitpc.pl

Nasze zasady
  • Obowiązkiem naszego działu Malware jest podawanie logów specyfikowanych ogłoszeniem. Ogłoszenie prosi o wykonanie logów z programów nieingerencyjnych takich jak FRST (a nie ComboFix!) oraz GMER. Log z HijackThis nie jest tu wymagany i pożądany, ponieważ wspomniane tu obowiązkowe logi są bardziej poszerzone, a równocześnie i tak mają jego emulację i znajdziecie tam "identyfikatory HijackThis" nieobecne w oryginale. Gmer jest po to, by zdiagnozować czy w systemie nie występuje jakiś rootkit, który albo może mieć niepożądany wpływ na ComboFix i inne specjalistyczne narzędzia, albo ma być za pomocą ComboFix usuwany.
  • Dopiero po analizie owych logów + sprawdzeniu systemu pod kątem rootkitów, możemy decydować czy używać ComboFix, oraz w jaki sposób go wykorzystać. Istnieje wiele metod usuwania, w tym takie, które mają mniejsze pole rażenia, i to już nasza głowa w tym jak je dobrać. Użytkownik nie może wykazywać samowoli, skoro nawet nie potrafi sam siebie zdiagnozować!
  • Jeśli jednak poprosimy o użycie ComboFix proszę też nie kręcić nosem i wykonać polecenia. Bo też i następne skutki uboczne ostrzeżeń tu omawianych: użytkownik zbyt wystraszony opowieścią w ogóle nie podejmie się zadania. Tak też nie może być. Jeśli prosimy (wiemy co robimy), jeśli zostaną zachowane środki bezpieczeństwa użytkowego, nie ma też co dostawać paranoji.
  • By nie zarzucić nam niekonsekwencji: na bazie wyjątku, z pewnych istotnych powodów, na podstawie mojej własnej oceny sytuacji mogę poprosić o użycie tego narzędzia w pierwszej kolejności przed innymi, podkreślam: z istotnych powodów.
  • By była też jasność: ja nie odmówię pomocy osobie, która zgłosi się z nieprawidłowym zestawem logów, ale osoba ta zostanie i tak skierowana do naszych zasad, i będzie musiała je przyczytać + wdrożyć. I nie otrzymujecie gorszej pomocy poprzez brak zastosowania ComboFix - wręcz przeciwnie.
  • Proszę się przyznać, jeśli użyto ComboFix bez nadzoru. Nie zatajać tego przed nami w skutek "nastraszenia regulaminem", bo ukrycie wyników jego pracy może zaciemnić sytuację i nas wprowadzić w błąd. Wprawdzie potrafimy się zorientować po pewnych rzeczach, że był stosowany, ale nie zawsze. Jeśli już ktoś go użył, proszę załączyć log i się wyspowiadać.





 

*****************************************

Odpowiedź na dwa pytania, na które wpadają użytkownicy w regularnych odstępach czasu lub insynuują te wątki: dlaczego brak tutaj informacji takich jak instrukcja analizy loga albo spis poleceń do skryptów.


Analiza loga
Wybaczcie, ale jeśli nie potraficie go przeczytać bez "instrukcji", to znaczy że nie znacie na tyle samego systemu, co jest podstawą dla analizy logów. Podanie instrukcji tego typu jest całkowicie zbędne, bo raz że za ten temat mają się brać tylko osoby dostatecznie wytrenowane / doświadczone, dwa że i tak nie ma tego po co robić. Raport z ComboFix jest przeformatowany w sposób nie budzący wątpliwości, i osoba która widziała rejestr + katalog systemowy z całkiem innych powodów niż "poinstruowanie przez kogoś" czyta z tego z zamkniętymi oczami. Jeśli pada pytanie o to jak to analizować, brak dostatecznej wiedzy o miejscach systemowych oraz prawidłowościach komponentów. Poza tym, gotowiec tworzy zespół indolencyjnych małp, które natrafiając na rzecz nieopisaną w tutorialu już nie potrafią zaradzić i rozkładają ręce, bo są przyssane do opisu i nie posiadają własnej wyobraźni. Brak opisów jak też to prowadzić ową "analizę ComboFix" ograniczy liczbę pseudoekspertów i pozwoli nam uniknąć repety z HijackThis. Do czego zmierzam, do tego narzędzia jest tutorial a skutki tego są następujące: użytkownik umie analizować log z HijackThis, ale jednocześnie nie potrafi zanalizować innych logów. Wniosek: nie potrafi nawet tego pierwszego, bo wszystkie logi pokazują te same miejsca w systemie, tylko ich formatowanie jest nieco inne. Po prostu kucie na pamięć bez zrozumienia i tyle.



Spis poleceń
Informacje te mają charakter niepubliczny z bardzo określonych powodów i nie są udostępniane od źródła. Wszelkie dostępne na Google "opisy" budowy CFScript to czysta inżynieria wsteczna na podstawie przesłanek pośrednich i domysłów, na dodatek przeprowadzona w sposób niekompletny i amatorski. Z mojego punktu widzenia najważniejszy powód, dla którego podawanie takich poleceń i istnienie mimetycznych "instrukcji" jest bardzo ale to bardzo niepożądane to zestawienie potężnego programu o właściwościach paralizatora systemu z następującymi modelami użytkowników:

- Użytkownik, któremu się wydaje, że jest zaawansowany. Osoby niewykwalifikowane, nie umiejące wystarczająco dużo by prowadzić tak poważną pomoc, zaczynają jej udzielać - często obierając błędne metody. Takim skryptem można komuś załatwić system. Taki skrypt nie jest potrzebny do kosmetyki systemowej!
- Użytkownik początkujący dostanie w ręce potężną broń samodestrukcji. Śmiem twierdzić, że z tego skorzysta. Po pierwsze już to widziałam na forum w dwóch wariantach: użytkownik bierze skrypt przeznaczony do cudzego (!) przypadku i próbuje go sobie ładować, użytkownik podejmuje nieudolną dezynfekcję ze skutkiem w usunięciu prawidłowych plików. Po drugie: zdesperowany user jest pozbawiony logiki działań, chce się pozbyć problemu, widzi że istnieje taki sposób, a przez formę jego podania bagatelizującą zagrożenie nabiera całkowicie błędnego wrażenia, że da radę to sam wykonać, .... z tragicznym skutkiem. To jest proste: jeśli użytkownik nie potrafi nawet zdefiniować infekcji i wykonać poprawnej analizy loga (patrz wyżej), to znaczy tym bardziej nie powinien w żadnym ale to żadnym wypadku tworzyć samodzielnie takich skryptów.

W moim dziale Malware osoby uprawnione do konstruowania skryptów to są moderatorzy.




Wielka prośba

... do wszelkich polskich forów bezpieczeństwa i portali oprogramowania o usunięcie:
- ze swoich zasad działu prośby o obowiązkowy log z ComboFix (lub wątków sugerujących podawanie tego loga w startowej prośbie o pomoc)
- ze swoich opisów stosowania ComboFix (i tak niepełne) instrukcje ręcznego produkowania skryptów
- programu z linkowni i odniesień do "znakomitego skanera"
Zdaję sobie sprawę, że to walenie w ścianę, i jeszcze na dodatek zapewne wzbudzi to uśmieszki politowania. Ale Wy zdajcie sobie sprawę jak to "profesjonalnie" wygląda, na co narażacie użytkowników, i że jest to wbrew autorowi programu ComboFix.




.
Odnośnik do komentarza
  • 2 miesiące temu...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...