Dlaczego nie polecamy ComboFix początkującym |
|
Portator Redaktor
Liczba postów: 10.980
|
Post: #1
Dlaczego nie polecamy ComboFix początkującym
ComboFix nie jest jak myślą sobie w zdecydowanej większości użytkownicy skanerem antywirusowym. Nazwa aplikacji składa się z dwóch członów - pierwszy z nich dotyczy zaszytych wewnątrz kilku pomniejszych narzędzi skanująco-modyfikujących, Fix dotyczy zaś wprowadzanych przez program zmian w konfiguracji systemu Windows.
Narzędzie ComboFix bywa nazywane złotym środkiem i bombą antywirusową. Okazuje się jednak, że nieumiejętne korzystanie z programu, przynieść może więcej kłopotu niż pożytku. "Proces skanująco - naprawczy przeprowadzany przez program to po pierwsze analiza plików utworzonych w ciągu ostatnich 30 dni w kluczowych lokacjach systemu Windows, AUTOMATYCZNE usunięcie bez potwierdzenia przez ComboFix plików uznanych przez niego za szkodliwe, skan kluczy rejestru odpowiedzialnych za autostart w systemie Windows i uruchomienie narzędzia wyszukującego rootkity - GMER. Wyróżniłem nie bez powodu automatyczne usuwanie bo odbywa się to bez potwierdzenia przez użytkownika. O ile z mniej dramatycznych przypadków utrata notepad.exe czy mspaint.exe nie jest wielkim problemem to dla niektórych strata msconfig.exe czy cmd.exe może już być zaskoczeniem. Z innych akcji, które ComboFix podejmuje bez naszego potwierdzenia to wyłączenie autostartu w systemie Windows, Przywrócenie IE jako domyślnej przeglądarki, wyłączenie usług sieciowych na czas skanowania co czasem kończy się problemem ze wznowieniem połączeń sieciowych i internetowych po ponownym uruchomieniu komputera i przerejestrowanie niektórych bibliotek systemowych z użyciem regsrv32. Bardzo często zdarza się, że na etapie usuwania automatycznego uszkadzane są aplikacje użytkownika przez usunięcie niektórych z wymaganych plików. Sztandarowym przykładem jest tu np. FlashGet. Z ostatnich spraw, o których należy pamiętać - ComboFix po ukończeniu analizy tworzy log w postaci pliku Combofix.txt. Cały proces bez analizy tego pliku przez osobę biegłą w pracy z programem jest bezcelowy. Analiza loga i w razie potrzeby utworzenie odpowiedniego CFScript.txt jest niezbędne dla poprawnego ukończenia procesu skanowania i oczyszczania systemu. Naprawdę szeroka wiedza o systemach Windows jest niezbędna do poprawnego zrozumienia informacji w sekcjach Find3M czy sekcji dotyczącej plików DLL ładowanych pod uruchomionymi procesami. Do najczęściej popełnianych błędów przez użytkowników bezapelacyjnie należy uruchamianie ComboFix w systemie x64. Nie istnieją natywne wersje narzędzi wchodzących w skład Combofixa dla platform x64, GMER nie potrafi poprawnie wykonać skanowania, bo system x64 wymaga podpisanych cyfrowo sterowników. Analizy GMER w systemie 64-bitowym kończą się BlueScreenem. Tuż za atakowaniem systemów x64 jest uruchamianie programu w systemach rodziny Server - te również nie są wspierane! Uruchomienie ComboFix w systemie, którego stan jest w ogóle nieznany bo oceniany przez niedoświadczonego użytkownika bądź totalnego laika, który idzie za popularną na forach poradą "daj log z ComboFix" może skończyć się całkowitym unieruchomieniem Windows w przypadku wejścia aplikacji w interakcję z infekcją. Jeśli mimo wszystko musisz skorzystać z ComboFix i upierasz się przy swoim to nie ignoruj informacji z procesu uruchamiania programu - zawsze instaluj konsolę odzyskiwania Windows - jeśli coś pójdzie nie tak, masz szansę uratować swój system. Twórz punkt przywracania systemu. Na monit o nieaktualnej wersji programu uaktualnij ją. Przed przystąpieniem do uruchomienia ComboFixa wyłącz ochronę rezydentną Twojego programu antywirusowego bo może dojść do niepożądanej interakcji. Na koniec pamiętaj, że do Tworzenia logów istnieją nieinwazyjne narzędzia jak DDS czy OTL, a do wyszukiwania rootkitów GMER. Doświadczona osoba, która będzie w stanie Ci pomóc poradzi sobie tylko na podstawie logów z OTL+GMER. HijackThis, choć bardzo popularny, totalnie mija się z tematem usuwania infekcji. Płaszczyzna działań HJT jest zupełnie inna" Ważna lektura: http://www.searchengines.pl/ComboFix-mec...ntry544578 http://cybertrash.pl/images/tata/ComboFix.html Windows ❼ Forum
(Ten post był ostatnio modyfikowany: 19.11.2011 07:43 przez Portator.)
19.11.2011 07:40 |
izaw User systemu
Liczba postów: 425
|
Post: #2
RE: Dlaczego nie polecamy ComboFix początkującym
W ogóle odradzam samodzielne używanie ComboFixa bez znajomości systemu operacyjnego. Po takim użyciu system może stać się niestartujący.
Nie jest to skaner, a mocno ingerujące narzędzie. Wcześniej trzeba zdiagnozować system i ocenić potrzebę takiego działania. Cytowana picasso obecnie prowadzi własne forum pomagające w kłopotach lepiej tam szukać pomocy. "Nie ma programów bezpiecznie działających, są co najwyżej niedostatecznie przetestowane" Prawo Murph'ego 19.11.2011 19:42 |
Podobne wątki | ||||
Wątek: | Autor | Odpowiedzi: | Wyświetleń: | Ostatni post |
16 listopada Dniem Cenzury internetu. Dlaczego? | Portator | 1 | 2.680 |
12.11.2011 17:09 Ostatni post: peciaq |
Kopiowanie DVD co, jak i dlaczego | taperson | 4 | 25.549 |
17.05.2011 08:13 Ostatni post: koper |
Rozwiązany Dlaczego Zamknij wyłącza mi sieciówkę, a Hibernacja nie? | gchmurka | 2 | 3.429 |
16.05.2011 05:38 Ostatni post: gchmurka |
Dlaczego x64 i dlaczego Windows 7? | damian-Win2000 | 8 | 5.006 |
02.09.2009 20:32 Ostatni post: lc0ne |
Dlaczego wszyscy nie dostali możliwości ściągnięci nowszych buildów | espenlund_2007 | 11 | 4.656 |
01.05.2009 07:52 Ostatni post: damian-Win2000 |
« Starszy wątek | Nowszy wątek »
Autor: Portator Temat został oceniony na 0 w skali 1-5 gwiazdek. Zebrano 1 głosów. |