Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Quando si ha a che fare con il "lavoro sporco" legato alla rimozione di gran parte delle minacce che
affliggono i sistemi Windows, Combofix uno degli strumenti che si guadagnato un'ottima fama
a livello mondiale. Sebbene non goda di un'interfaccia grafica ed il suo funzionamento induca
qualche timore in alcuni utenti, Combofix si da sempre messo in evidenza come un programma
eccellente per l'eliminazione dei malware pi pericolosi.
Il suo utilizzo molto semplice perch, una volta scaricato ed eseguito, esso s'incarica di effettuare
una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentandone la
disinfezione automatica.
Prima di presentare Combofix bene soffermarci su una doverosa precisazione. Il software si
propone come un'utilit estremamente potente per la rimozione delle minacce eventualmente
presenti sul personal computer in uso. L'impiego del programma dovrebbe essere limitato solamente
a quelle situazioni in cui la presenza di un malware sul sistema in uso ormai conclamata.
Combofix, quindi, non dev'essere mai utilizzato come software per la scansione del sistema alla
ricerca di eventuali infezioni (per queste operazioni consigliabile orientarsi su un programma
quale Malwarebytes' Anti-Malware, gi presentato in questi nostri articoli).
Sui sistemi ove altri software antimalware non sono riusciti a sradicare completamente le infezioni,
tuttavia, Combofix sa comunque dare il meglio di s.
Diversamente rispetto a quanto accadeva in passato, quando Combofix non era utilizzabile sulle
versioni di Windows pi recenti (Windows Vista e Windows 7), l'utilit adesso capace di
supportare qualunque sistema operativo Microsoft, da Windows XP in avanti. Nel caso di Windows
Vista e Windows 7, come garantisce lo stesso autore del programma, Combofix compatibile sia
con le versioni a 32 che a 64 bit.
L'autore di Combofix, comunque, tende ad evidenziare pi volte come l'utilizzo della sua
applicazione debba generalmente avvenire sotto la supervisione di un utente esperto. In ogni caso,
qualora si fosse intenzionati ad avviare l'utilit, accertata la presenza di malware sul proprio
sistema, si potr comunque provvedere autonomamente tenendo presente che l'operazione viene
effettuata sotto la propria responsabilit.
Cosa fare prima di eseguire Combofix
L'applicazione, non appena avviata, provveder in primis a creare un punto di ripristino del sistema.
Qualunque versione di Windows si stia usando, Combofix invocher in background l'utilit
"Ripristino configurazione del sistema" integrata nel sistema operativo e richieder la generazione
di punto di ripristino ossia di un'"istantanea" che permetter di ripristinare la configurazione
dell'intero sistema allo stato attuale nel caso in cui dovessero presentarsi dei problemi.
Prima di ricorrere a Combofix quindi sempre bene verificare di essere in grado di accedere
all'utilit "Ripristino configurazione del sistema", anche nella malaugurata ipotesi in cui il sistema
non dovesse avviarsi.
Come avviare il ripristino del sistema su Windows Vista e Windows 7
Prima di scaricare ed eseguire Combofix su un sistema Windows Vista e Windows 7 invece bene
accertarsi di essere in grado di accedere allo strumento che permette il ripristino del sistema in caso
di problemi. Dopo aver riavviato il personal computer, durante la fase di boot, prima della comparsa
della schermata "Avvio di Windows", si dovr ripetutamente premere il tasto F8. Apparir un men
simile al seguente:
La voce da utilizzare (pressione del tasto Invio) la prima. Dopo alcuni istanti di attesa, si potranno
selezionare lingua e layout di tastiera preferiti quindi digitare la password associata all'account
dotato di diritti amministrativi:
La seconda voce (Ripristino configurazione del sistema) consentir di riportare Windows ad uno
stato precedente:
Con un clic su Avanti, solo non appena si sar eseguito Combofix, si dovrebbe vsiualizzare il punto
di ripristino Combofix created restore point:
Nell'esempio in figura mostriamo la voce Realtime protection enable che permette di disabilitare e
riabilitare il modulo di Avira Free Antivirus incarico della scansione in tempo reale. La procedura
comunque molto simile anche nel caso degli altri prodotti antivirus.
Se necessario, rinominare il file eseguibile di Combofix
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, possibile che
sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la
rimozione delle minacce. Al momento del download dell'applicazione, quindi, suggeriamo di
salvarla su disco non con il nome predefinito - ovvero ComboFix.exe - ma con un'altra
denominazione (ad esempio abc123.exe o qualcosa di simile).
Qualunque sia la versione di Windows in uso, per avviare Combofix sufficiente fare doppio sul
suo eseguibile. L'importante che, in ogni caso, l'operazione venga effettuata da un account utente
dotato dei diritti di amministratore. Su Windows Vista e Windows 7 comparir la classica finestra
di UAC attraverso la quale si dovr accordare il permesso a Combofix di alterare la configurazione
del sistema:
Dopo aver fatto clic sul pulsante S, Combofix estrarr tutti i file necessari per svolgere scansioni e
pulizia in una cartella di sistema creata nella directory radice dell'unit C:. A tale cartella viene
assegnato un nome casuale ed al suo interno vengono posizioni decine di file batch, script ed
eseguibili che consentono di attivare, l'una dopo l'altra, delle attivit di disinfezione del sistema.
Il messaggio seguente ricorda di procedere alla disabilitazione della funzionalit di scansione in
tempo reale del software antivirus installato sul personal computer:
Diversamente rispetto alle precedenti versioni di Combofix, il programma entrer subito in azione
disponendo dapprima la generazione di un punto di ripristino del sistema:
Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema
appoggiandosi ad ERUNT (ved. questi articoli). Non necessario che l'utility ERUNT sia presente
sul sistema dato che Combofix la integra nel suo pacchetto.
Svolte le operazioni di tipo precauzionale, Combofix disconnetter il personal computer dalla rete
Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilit
della connessione, tenete presente che un comportamento del tutto normale. Il software
modificher anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo
stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop da considerarsi assolutamente regolare.
Durante la scansione, Combofix visualizzer una serie di messaggi. I passi da completare ("stage")
sono pi di una cinquantina: indispensabile attendere pazientemente che il programma abbia
terminato tutte le attivit.
E' bene ricordare di non cliccare mai sulla finestra di Combofix altrimenti probabile che il
processo di scansione vada in blocco.
Qualora il firewall informasse circa la sostituzione di alcuni driver indispensabile acconsentire
allo svolgimento di tale operazione.
Ad esclusivo beneficio dei pi esperti, aggiungiamo che Combofix in grado di eliminare file, informazioni dal
registro di sistema, servizi e driver su richiesta dell'utente. La procedura estremamente delicata ed bene che venga
posta in essere solamente dalle persone pi smaliziate. Creando, nella stessa cartella in cui si memorizzato l'eseguibile
di Combofix, un file di testo dal nome CFScript.txt ed inserendovi gli elementi da rimuovere, Combofix
provveder ad eliminarli.
Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati
all'azione di qualche malware, sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il
loro nome.
Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D5114E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO
maligno e di un valore nocivo inserito da qualche malware nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente
utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalit con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di
un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" , in
questo caso, il nome del valore).
Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt
sull'eseguibile del programma.
Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti pi esperti.
L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle
applicazioni installate pu provocare spiacevoli problemi.