UTILIZZO DI COMBOFIX

Quando si ha a che fare con il "lavoro sporco" legato alla rimozione di gran parte delle minacce che
affliggono i sistemi Windows, Combofix uno degli strumenti che si guadagnato un'ottima fama
a livello mondiale. Sebbene non goda di un'interfaccia grafica ed il suo funzionamento induca
qualche timore in alcuni utenti, Combofix si da sempre messo in evidenza come un programma
eccellente per l'eliminazione dei malware pi pericolosi.
Il suo utilizzo molto semplice perch, una volta scaricato ed eseguito, esso s'incarica di effettuare
una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentandone la
disinfezione automatica.
Prima di presentare Combofix bene soffermarci su una doverosa precisazione. Il software si
propone come un'utilit estremamente potente per la rimozione delle minacce eventualmente
presenti sul personal computer in uso. L'impiego del programma dovrebbe essere limitato solamente
a quelle situazioni in cui la presenza di un malware sul sistema in uso ormai conclamata.
Combofix, quindi, non dev'essere mai utilizzato come software per la scansione del sistema alla
ricerca di eventuali infezioni (per queste operazioni consigliabile orientarsi su un programma
quale Malwarebytes' Anti-Malware, gi presentato in questi nostri articoli).
Sui sistemi ove altri software antimalware non sono riusciti a sradicare completamente le infezioni,
tuttavia, Combofix sa comunque dare il meglio di s.
Diversamente rispetto a quanto accadeva in passato, quando Combofix non era utilizzabile sulle
versioni di Windows pi recenti (Windows Vista e Windows 7), l'utilit adesso capace di
supportare qualunque sistema operativo Microsoft, da Windows XP in avanti. Nel caso di Windows
Vista e Windows 7, come garantisce lo stesso autore del programma, Combofix compatibile sia
con le versioni a 32 che a 64 bit.
L'autore di Combofix, comunque, tende ad evidenziare pi volte come l'utilizzo della sua
applicazione debba generalmente avvenire sotto la supervisione di un utente esperto. In ogni caso,
qualora si fosse intenzionati ad avviare l'utilit, accertata la presenza di malware sul proprio
sistema, si potr comunque provvedere autonomamente tenendo presente che l'operazione viene
effettuata sotto la propria responsabilit.
Cosa fare prima di eseguire Combofix
L'applicazione, non appena avviata, provveder in primis a creare un punto di ripristino del sistema.
Qualunque versione di Windows si stia usando, Combofix invocher in background l'utilit
"Ripristino configurazione del sistema" integrata nel sistema operativo e richieder la generazione
di punto di ripristino ossia di un'"istantanea" che permetter di ripristinare la configurazione
dell'intero sistema allo stato attuale nel caso in cui dovessero presentarsi dei problemi.
Prima di ricorrere a Combofix quindi sempre bene verificare di essere in grado di accedere
all'utilit "Ripristino configurazione del sistema", anche nella malaugurata ipotesi in cui il sistema
non dovesse avviarsi.
Come avviare il ripristino del sistema su Windows Vista e Windows 7
Prima di scaricare ed eseguire Combofix su un sistema Windows Vista e Windows 7 invece bene
accertarsi di essere in grado di accedere allo strumento che permette il ripristino del sistema in caso
di problemi. Dopo aver riavviato il personal computer, durante la fase di boot, prima della comparsa

della schermata "Avvio di Windows", si dovr ripetutamente premere il tasto F8. Apparir un men
simile al seguente:

La voce da utilizzare (pressione del tasto Invio) la prima. Dopo alcuni istanti di attesa, si potranno
selezionare lingua e layout di tastiera preferiti quindi digitare la password associata all'account
dotato di diritti amministrativi:

La seconda voce (Ripristino configurazione del sistema) consentir di riportare Windows ad uno
stato precedente:

Con un clic su Avanti, solo non appena si sar eseguito Combofix, si dovrebbe vsiualizzare il punto
di ripristino Combofix created restore point:

Per visualizzare tutti i punti di ripristino disponibili, si pu eventualmente spuntare la casella

Mostra ulteriori punti di ripristino.
Con un clic, ancora, sul pulsante Avanti si potranno annullare le modifiche operate da Combofix e

riportare il sistema ad uno stato precedente.

Disattivazione della protezione antivirus
La seconda operazione consiste nel disattivare temporaneamente la protezione in tempo reale
offerta dal software antivirus installato sul sistema. L'azione dell'antivirus in uso, infatti, pu
interferire negativamente con il funzionamento di Combofix impedendo al programma di svolgere
una serie di controlli e di interventi di pulizia.
Qualunque sia il software antivirus utilizzato, solitamente sufficiente arrestare la funzionalit di
protezione in tempo reale agendo sull'interfaccia del programma.

Nell'esempio in figura mostriamo la voce Realtime protection enable che permette di disabilitare e
riabilitare il modulo di Avira Free Antivirus incarico della scansione in tempo reale. La procedura
comunque molto simile anche nel caso degli altri prodotti antivirus.
Se necessario, rinominare il file eseguibile di Combofix
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, possibile che
sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la
rimozione delle minacce. Al momento del download dell'applicazione, quindi, suggeriamo di
salvarla su disco non con il nome predefinito - ovvero ComboFix.exe - ma con un'altra
denominazione (ad esempio abc123.exe o qualcosa di simile).
Qualunque sia la versione di Windows in uso, per avviare Combofix sufficiente fare doppio sul
suo eseguibile. L'importante che, in ogni caso, l'operazione venga effettuata da un account utente
dotato dei diritti di amministratore. Su Windows Vista e Windows 7 comparir la classica finestra
di UAC attraverso la quale si dovr accordare il permesso a Combofix di alterare la configurazione
del sistema:

Dopo aver fatto clic sul pulsante S, Combofix estrarr tutti i file necessari per svolgere scansioni e
pulizia in una cartella di sistema creata nella directory radice dell'unit C:. A tale cartella viene
assegnato un nome casuale ed al suo interno vengono posizioni decine di file batch, script ed
eseguibili che consentono di attivare, l'una dopo l'altra, delle attivit di disinfezione del sistema.
Il messaggio seguente ricorda di procedere alla disabilitazione della funzionalit di scansione in
tempo reale del software antivirus installato sul personal computer:

Diversamente rispetto alle precedenti versioni di Combofix, il programma entrer subito in azione
disponendo dapprima la generazione di un punto di ripristino del sistema:

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema
appoggiandosi ad ERUNT (ved. questi articoli). Non necessario che l'utility ERUNT sia presente
sul sistema dato che Combofix la integra nel suo pacchetto.
Svolte le operazioni di tipo precauzionale, Combofix disconnetter il personal computer dalla rete
Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilit
della connessione, tenete presente che un comportamento del tutto normale. Il software
modificher anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo
stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop da considerarsi assolutamente regolare.
Durante la scansione, Combofix visualizzer una serie di messaggi. I passi da completare ("stage")
sono pi di una cinquantina: indispensabile attendere pazientemente che il programma abbia
terminato tutte le attivit.

E' bene ricordare di non cliccare mai sulla finestra di Combofix altrimenti probabile che il
processo di scansione vada in blocco.
Qualora il firewall informasse circa la sostituzione di alcuni driver indispensabile acconsentire
allo svolgimento di tale operazione.

Infine, di fondamentale importanza attendere il completamento di tutte le attivit di scansione e di

rimozione malware espletate da Combofix: sintanto che non apparir il resoconto finale in formato
testuale non si dovr n chiudere l'applicazione n riavviare forzosamente il sistema operativo. In
tali situazioni, infatti, potrebbero verosimilmente verificarsi malfunzionamenti o si potrebbero
presentare spiacevoli comportamenti.
Al termine della procedura, Combofix avr eliminato tutti gli eventuali malware, presenti sul
sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome
combofix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che
Combofix non fosse riuscito a sradicare.
Nel report facile riconoscere i file collegati a componenti malware che il programma riuscito a
rimuovere oltre agli eventuali oggetti nascosti che, con buona probabilit, evidenziano la presenza
di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente
attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate bene non
lanciarsi in interventi "alla cieca" che avrebbero come risultato solo quello di causare problemi al
funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti pi esperti (ad
esempio, nei forum e nei gruppi di discussione).
Suggeriamo di salvare il log C:\ComboFix.txt insieme con quello di Malwarebytes' AntiMalware in modo da averlo a portata di mano nel caso in cui un esperto dovesse richiederlo (per
maggiori informazioni possibile fare riferiment al forum de IlSoftware.it sul quale, previa
iscrizione, possibile inviare i propri quesiti).
Durante il suo funzionamento, Combofix crea sul disco fisso una cartella denominata Qoobox
all'interno della quale il programma provvede a memorizzare file di backup ed oggetti posti "in
quarantena" (generalmente file correlati all'azione dei malware rilevati sul sistema in uso).
Nel caso in cui si avesse la certezza assoluta di aver eliminato le varie minacce e che Windows sia
stabile e funzioni in modo regolare, possibile richiedere la disinstallazione di Combofix. E'
necessario procedere con cautela dal momento che disinstallando il programma, verranno anche
rimossi tutti i backup ed i file eventualmente posti in quarantena.
Sia in Windows XP che in Windows Vista e Windows 7 per disinstallare Combofix si dovr fare
clic sul pulsante Start quindi avviare il comando seguente (da digitare nella finestra Esegui su XP e
nella casella Cerca programmi e file su Vista e Windows 7):
combofix /uninstall

Al termine dell'operazione dovr comparire il messaggio "ComboFix is uninstalled".

Attenzione al link utilizzato per scaricare Combofix!
Considerata la vasta popolarit di Combofix, in Rete sono spuntati molteplici siti web che offrono
versioni "fasulle" e quindi potenzialmente nocive dell'applicazione. Visitando tali pagine web si
rischia di effettuare il download di oggetti dannosi o comunque di inviare denaro nelle casse di
persone scorrette che si approfittano della popolarit di Combofix per interesse personale.
L'unica pagina web dalla quale possibile scaricare Combofix quella raggiungibile facendo clic
su questo collegamento oppure utilizzando la nostra scheda.

La versione pi aggiornata di Combofix prelevabile cliccando qui oppure visitando la pagina

web ufficiale. Suggeriamo di effettuare sempre il download di Combofix dal web dal momento che
il programma oggetto di continui aggiornamenti ed ottimizzazioni.

Ad esclusivo beneficio dei pi esperti, aggiungiamo che Combofix in grado di eliminare file, informazioni dal
registro di sistema, servizi e driver su richiesta dell'utente. La procedura estremamente delicata ed bene che venga
posta in essere solamente dalle persone pi smaliziate. Creando, nella stessa cartella in cui si memorizzato l'eseguibile
di Combofix, un file di testo dal nome CFScript.txt ed inserendovi gli elementi da rimuovere, Combofix
provveder ad eliminarli.
Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati
all'azione di qualche malware, sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il
loro nome.
Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D5114E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO
maligno e di un valore nocivo inserito da qualche malware nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente
utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalit con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di
un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" , in
questo caso, il nome del valore).
Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt
sull'eseguibile del programma.

Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti pi esperti.
L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle
applicazioni installate pu provocare spiacevoli problemi.