Odpowiedz

Dlaczego nie polecamy ComboFix początkującym

 
Portator
Redaktor

Liczba postów: 10.980
Post: #1

Dlaczego nie polecamy ComboFix początkującym


ComboFix nie jest jak myślą sobie w zdecydowanej większości użytkownicy skanerem antywirusowym. Nazwa aplikacji składa się z dwóch członów - pierwszy z nich dotyczy zaszytych wewnątrz kilku pomniejszych narzędzi skanująco-modyfikujących, Fix dotyczy zaś wprowadzanych przez program zmian w konfiguracji systemu Windows.
Narzędzie ComboFix bywa nazywane złotym środkiem i bombą antywirusową. Okazuje się jednak, że nieumiejętne korzystanie z programu, przynieść może więcej kłopotu niż pożytku.
"Proces skanująco - naprawczy przeprowadzany przez program to po pierwsze analiza plików utworzonych w ciągu ostatnich 30 dni w kluczowych lokacjach systemu Windows, AUTOMATYCZNE usunięcie bez potwierdzenia przez ComboFix plików uznanych przez niego za szkodliwe, skan kluczy rejestru odpowiedzialnych za autostart w systemie Windows i uruchomienie narzędzia wyszukującego rootkity - GMER.

Wyróżniłem nie bez powodu automatyczne usuwanie bo odbywa się to bez potwierdzenia przez użytkownika. O ile z mniej dramatycznych przypadków utrata notepad.exe czy mspaint.exe nie jest wielkim problemem to dla niektórych strata msconfig.exe czy cmd.exe może już być zaskoczeniem.

Z innych akcji, które ComboFix podejmuje bez naszego potwierdzenia to wyłączenie autostartu w systemie Windows, Przywrócenie IE jako domyślnej przeglądarki, wyłączenie usług sieciowych na czas skanowania co czasem kończy się problemem ze wznowieniem połączeń sieciowych i internetowych po ponownym uruchomieniu komputera i przerejestrowanie niektórych bibliotek systemowych z użyciem regsrv32.
Bardzo często zdarza się, że na etapie usuwania automatycznego uszkadzane są aplikacje użytkownika przez usunięcie niektórych z wymaganych plików. Sztandarowym przykładem jest tu np. FlashGet.

Z ostatnich spraw, o których należy pamiętać - ComboFix po ukończeniu analizy tworzy log w postaci pliku Combofix.txt. Cały proces bez analizy tego pliku przez osobę biegłą w pracy z programem jest bezcelowy. Analiza loga i w razie potrzeby utworzenie odpowiedniego CFScript.txt jest niezbędne dla poprawnego ukończenia procesu skanowania i oczyszczania systemu. Naprawdę szeroka wiedza o systemach Windows jest niezbędna do poprawnego zrozumienia informacji w sekcjach Find3M czy sekcji dotyczącej plików DLL ładowanych pod uruchomionymi procesami.

Do najczęściej popełnianych błędów przez użytkowników bezapelacyjnie należy uruchamianie ComboFix w systemie x64. Nie istnieją natywne wersje narzędzi wchodzących w skład Combofixa dla platform x64, GMER nie potrafi poprawnie wykonać skanowania, bo system x64 wymaga podpisanych cyfrowo sterowników. Analizy GMER w systemie 64-bitowym kończą się BlueScreenem. Tuż za atakowaniem systemów x64 jest uruchamianie programu w systemach rodziny Server - te również nie są wspierane!
Uruchomienie ComboFix w systemie, którego stan jest w ogóle nieznany bo oceniany przez niedoświadczonego użytkownika bądź totalnego laika, który idzie za popularną na forach poradą "daj log z ComboFix" może skończyć się całkowitym unieruchomieniem Windows w przypadku wejścia aplikacji w interakcję z infekcją.

Jeśli mimo wszystko musisz skorzystać z ComboFix i upierasz się przy swoim to nie ignoruj informacji z procesu uruchamiania programu - zawsze instaluj konsolę odzyskiwania Windows - jeśli coś pójdzie nie tak, masz szansę uratować swój system. Twórz punkt przywracania systemu. Na monit o nieaktualnej wersji programu uaktualnij ją. Przed przystąpieniem do uruchomienia ComboFixa wyłącz ochronę rezydentną Twojego programu antywirusowego bo może dojść do niepożądanej interakcji.

Na koniec pamiętaj, że do Tworzenia logów istnieją nieinwazyjne narzędzia jak DDS czy OTL, a do wyszukiwania rootkitów GMER. Doświadczona osoba, która będzie w stanie Ci pomóc poradzi sobie tylko na podstawie logów z OTL+GMER. HijackThis, choć bardzo popularny, totalnie mija się z tematem usuwania infekcji. Płaszczyzna działań HJT jest zupełnie inna"

Ważna lektura:
http://www.searchengines.pl/ComboFix-mec...ntry544578
http://cybertrash.pl/images/tata/ComboFix.html        

[Obrazek: 2089620800_1406976151.png]
Windows ❼ Forum
(Ten post był ostatnio modyfikowany: 19.11.2011 07:43 przez Portator.)

19.11.2011 07:40

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
izaw
User systemu
Liczba postów: 425
Post: #2

RE: Dlaczego nie polecamy ComboFix początkującym


W ogóle odradzam samodzielne używanie ComboFixa bez znajomości systemu operacyjnego. Po takim użyciu system może stać się niestartujący.

Nie jest to skaner, a mocno ingerujące narzędzie. Wcześniej trzeba zdiagnozować system i ocenić potrzebę takiego działania.

Cytowana picasso obecnie prowadzi własne forum pomagające w kłopotach lepiej tam szukać pomocy.

"Nie ma programów bezpiecznie działających, są co najwyżej niedostatecznie przetestowane"
Prawo Murph'ego

19.11.2011 19:42

Znajdź wszystkie posty użytkownika
Odpowiedz cytując ten post
Odpowiedz

Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
16 listopada Dniem Cenzury internetu. Dlaczego? Portator 1 2.591 12.11.2011 17:09
Ostatni post: peciaq
Kopiowanie DVD co, jak i dlaczego taperson 4 25.410 17.05.2011 08:13
Ostatni post: koper
Rozwiązany Dlaczego Zamknij wyłącza mi sieciówkę, a Hibernacja nie? gchmurka 2 3.299 16.05.2011 05:38
Ostatni post: gchmurka
Dlaczego x64 i dlaczego Windows 7? damian-Win2000 8 4.789 02.09.2009 20:32
Ostatni post: lc0ne
Dlaczego wszyscy nie dostali możliwości ściągnięci nowszych buildów espenlund_2007 11 4.265 01.05.2009 07:52
Ostatni post: damian-Win2000
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 1 głosów.