Che siano rootkit, virus o malware ci pensa ComboFix a scovarli e cancellarli.
ComboFix è una di quelle utility “controverse” (almeno dal mio punto di vista), sicuramente è in grado di risolvere numerosissimi problemi dovuti a malware di vario genere, anche di rootkit molto nascosti, bisogna però fidarsi di quello che va a togliere, l'utente non ha nessuna possibilità di interagire con le scelte di rimozione fatte da ComboFix.
Quindi va utilizzato con estremo giudizio da persone esperte e, quando ogni tanto sbaglia, bisogna essere in grado di recuperare i backup dalla cartella di quarantena.
Funzionamento
Una volta scaricato il programma (se non dovesse avviarsi per la presenza di qualche malware attivo provate a rinominarlo) avviatelo e potrebbe avvisarvi di chiudere antivirus e software Hips attivi perché andrebbero a interferire con l'attività di ComboFix.
In realtà si riuscirebbe a proseguire lo stesso, ma quando ho fatto le prove, con avast! attivo ha cancellato uno dei tool usato da ComboFix bloccando la sua scansione.
Se utilizzate Windows Xp, potrebbe chiedervi di installare la Console di ripristino, dato che non è indispensabile possiamo anche proseguire.
Quindi chiudete tutti i software di protezione attivi, anche il collegamento Internet tanto non vi serve, tutti i lavori in corso e lasciate proseguire la scansione che impiegherà alcuni minuti.
Nella finestra del Disclaimer si specifica che ComboFix è fornito “così com'è” e senza nessuna garanzia.
Dopo aver accettato i rischi, viene creato automaticamente un backup del registro di configurazione e un punto di ripristino.
Si avvia poi la vera e propria scansione con una lunga serie di Stage.
Non fate niente in questi momenti, ogni tanto potreste vedere sparire il desktop e ricomparire dopo qualche secondo, non preoccupatevi è normale.
Il computer si riavvierà automaticamente al termine dei vari Stage.
Dopo il riavvio si crea automaticamente il report che impiegherà qualche altro minuto. Continuate a non utilizzare il computer per non rallentare ulteriormente queste fasi.
Alla fine comparirà un file log.txt con tutta la lista delle rimozioni e numerosi altri dettagli da analizzare per scoprire eventuali altre infezioni sfuggite a ComboFix.
Solo analizzando la prima parte di questo log trovo che ha eliminato quattro file dll, dalla cartella c:\windows\SysWow64, che non dovevano essere rimosse in quanto appartenevano a programmi legittimi e non erano infette.
Per carità, si può andare a recuperare il tutto dalla cartella di backup, che si trova in c:\Qoobox, le chiavi di registro si trovano in c:\Qoobox\Quarantine\Registry_backups\, i file hanno un nome simile a questo Legacy_NPF.reg.dat, basta togliere l'estensione .dat e poi si può importare il file .reg nel registro di configurazione, i file eseguibili, o le dll cancellate, avranno un nome come questo BrowserDefender.exe.vir e quindi basta togliere il .vir e poi ricopiare il tutto nella cartella originale.
Però bisogna essere molto esperti per fare questo, riconoscendo che ci sono state delle rimozioni sbagliate e sapendo anche come porvi rimedio.
Per l'analisi dei log delle scansioni, vi invito ad aprire una discussione nel nostro forum dove potremo gestirle meglio, vi ricordo solo di seguire queste regole per l'inserimento dei dati nel forum.
Conclusioni
Devo dire che anche durante questo test, come molte altre volte in cui mi è capitato di usarlo, ComboFix ha fatto il suo dovere e ha ripulito per bene i problemi presenti, però ha rimosso qualche cosa di troppo, come mi era già successo.
Non è tra i miei tool di pulizia preferiti, infatti cerco sempre di usarlo per ultimo e ne consiglio l'uso solo a persone che sappiano come gestirlo.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]