Skocz do zawartości


tablety.pl
- - - - -

ComboFix - mechanizm dezynfekcji




  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 09 03 2007 - 14:41


ComboFix (ingerencyjny mechanizm dezynfekcji)

____. Przygotowania / Uruchamianie
____. Kopie zapasowe / Przywracanie systemu
____. Błędy / Skutki uboczne
____. Dlaczego na searchengines.pl nie prosimy o "log z ComboFix" jako obowiązkowy




Proszę nie stosować ComboFix bez nadzoru!!



Copyright @picasso searchengines.pl Powielanie tej pracy zabronione.

#2 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 16 03 2007 - 04:18

Dołączona grafika

ComboFix:

Platforma: Windows 2000/XP/Vista/7 32-bit (x86)

Dołączona grafika Pobierz: ComboFix.exe
Dołączona grafika Pobierz: ComboFix.exe

UWAGA: Proszę nie pobierać ComboFix z innych niż w/w linki, ani tym bardziej z torrentów (!). Pod powyższymi linkami jest oryginał, bardzo często aktualizowany.


Narzędzie pobieramy z jednego z proponowanych linków. Plik zapisujemy na Pulpicie.

Dołączona grafika


Proszę nie stosować ComboFix bez nadzoru!!


Czym jest ComboFix - Programem dezynfekcyjnym o mocnej sile rażenia, kierunkowanym na usuwanie wielu infekcji, w tym trudnych do likwidacji. To nie jest narzędzie tworzące prosty raport / log stanu systemu w trybie tylko do odczytu, to silna ingerencja i modyfikacja Windows. Bardzo niepożądane jest jego używanie na własny rachunek, w sytuacjach gdy jest to całkowicie zbędne, lub nawet niebezpieczne. Program ten należy stosować tylko wtedy, gdy padnie z naszej strony taka prośba na forum. Kiedy pada taka prośba? Jeśli na podstawie opisu objawów oraz raportów wymaganych ogłoszeniem stwierdzimy, że jego uruchomienie jest bezpieczne (na tyle na ile to można wnioskować z przesłanek) lub pożądane (usunięcie określonej infekcji). Cały poniższy opis użytkowy ma służyć przeprowadzeniu ze zrozumieniem przez proces użytkowników, których poprosiliśmy o jego zastosowanie. Ten opis nie jest po to, by osoby niedoświadczone samodzielnie w domu częstowały się i prowadziły jakieś "regularne skany"! W kwestii samego opisu, jest to mój tutorial uzupełniony o pewne rzeczy, aczkolwiek jedynym autoryzowanym jest to tłumaczenie z Bleeping: Instrukcja użycia.




Przygotowania do uruchomienia



UWAGA - KOLIDUJĄCE OPROGRAMOWANIE:


UWAGA: ComboFix może być atakowany przez antywirusy twierdzące iż ComboFix jest wirusem. NIE. Jest czysty, ale przez fakt że zawiera w środku różne specjalistyczne narzędzia, AV / antyspyware nie pozwolą mu pracować kasując z ComboFix.exe jego składniki już podczas pobierania narzędzia na dysk! Kolejnym dysonansem może być zetknięcie się samej procedury ComboFix z pracującą tłowo ochroną, z konsekwencją zaburzeń działania / uszkodzeń systemowych. Proszę przed pobraniem i uruchomieniem ComboFix wyłączyć wszystkie programy ochronne (antywirus / antyspyware / firewall ...). Antywirusy mogą reagować na ComboFix już podczas oglądania tego tematu - przykładowy fałszywy alarm modułu skanującego www od Kasperskiego:

Dołączona grafika


Dołączona grafika Link po angielsku: wyłączanie strażników



UWAGA: ComboFix a emulatory napędów = konflikt. Użytkownik, który postępuje z regułami naszego działu, już powinien wiedzieć o tym bo: ogłoszenie działu to punktuje i przed podaniem podstawowych nieingerencyjnych logów jest wymagane wykonanie czynności deinstalacyjnych takiego oprogramowania + uruchamianie ComboFix jest zatwierdzane na forum przez osobę prowadzącą pomoc. Na wszelki wypadek do wglądu:

WAŻNE - Oprogramowanie emulujące napędy





UWAGA - KONSOLA ODZYSKIWANIA WINDOWS 2000/XP + RECOVERY DISC WINDOWS Vista/7:


UWAGA: Przed uruchomieniem ComboFix należy zaopatrzyć się w Konsolę Odzyskiwania / Recovery Disc, ponieważ skutki uruchomienia ComboFix są nieprzewidywalne i może pojawić się sytuacja, że system już się nie uruchomi. Niedoświadczony użytkownik nie poradzi sobie sam i prawdopodobnie skończy się na reinstalacji Windows. Proszę dokładnie przeczytać w linkach co to jest Konsola Odzyskiwania oraz Recovery Disc i jak się nimi posługiwać, oraz wątek przywracania z kopii zapasowych utworzonych przez ComboFix:

Dołączona grafika Windows Vista / Windows 7: Opis startu do Recovery Disc

Moduł Recovery / Naprawczy jest wbudowany w oryginalną pełną DVD instalacyjną Windows Vista / Windows 7. Posiadając taki typ płyty wystarczy przeczytać tylko opis jak z niej skorzystać w omawianym tu kontekście. Rzecz nie dotyczy niestety wszystkich rozwiązań laptopowych, tzn. dołączona doń płyta ma całkowicie inny niż tu omawiany moduł Recovery, polegający na zrzuceniu obrazu całego fabrycznego Windows. Do takich przypadków pomocą służy właśnie gotowa płytka zawierająca tylko moduł naprawy. Płyta produkcji Neosmart (autor EasyBCD) do pobrania z poniższego linka systemem torrent. Należy plik ISO wypalić na CD za pomocą Active ISO Burner.

******************************************

Dołączona grafika Pobierz: Windows Vista 32-Bit (x86) Recovery Disc
Dołączona grafika Pobierz: Windows 7 Recovery Disc 32-Bit (x86) Edition
Dołączona grafika Pobierz: Active ISO Burner

******************************************

Proszę przeczytać w jaki sposób skorzystać z tej płyty, by przywrócić system w razie katastrofy po użyciu ComboFix:

--------> Dołączona grafika Przywracanie systemu

Dołączona grafika Windows 2000/XP: Opis i użytkowanie Konsoli Odzyskiwania

Konsolę Odzyskiwania można zaimplementować na dwa sposoby: przez uruchomienie z instalacyjnej CD XP oraz montując ją na dysku. Jeśli posiadacie płytkę Windows, poniższe kroki nie są konieczne. Jeśli natomiast płytki nie ma (zwłaszcza laptopy = Recovery CD nie ma Konsoli!), skorzystajcie z jednego z tych sposobów do wyboru.

1. SAMOSTARTUJĄCA CD:

Jest to minimalistyczna płyta (~7MB) zawierająca tylko Konsolę Odzyskiwania, zrobiona osobiście przeze mnie z dyskietek MS w wersji XP SP2 PL. Jej wersja jest nieistotna, w sensie że niezależnie od stanu Service packa Waszego zainstalowanego systemu i tak będzie działać / wykona zadania. Czyli mając XP bez SP lub XP SP3 proszę się "nie zastanawiać" czy pójdzie. Powinna bootować bez problemu. Należy ściągnąć obraz ISO i wypalić na CD za pomocą Active ISO Burner. To będzie ratunkowa płytka, z której wchodzi się do Konsoli.

******************************************

Dołączona grafika Pobierz: KONSOLA.ISO (link na Chomiku)
Dołączona grafika Pobierz: KONSOLA.ISO (alternatywny link)
Dołączona grafika Pobierz: Active ISO Burner

******************************************

Proszę przeczytać w jaki sposób skorzystać z tej płyty, by przywrócić system w razie katastrofy po użyciu ComboFix:

--------> Dołączona grafika Przywracanie systemu



2. MONTAŻ KONSOLI NA DYSKU:

Dołączona grafika

Dołączona grafika Pobierz: Dyski rozruchowe

ComboFix ma wbudowane montowanie konsoli na dysku. Można wywołać to na dwa różne sposoby:

----> Ręczne zainstalowanie Konsoli Odzyskiwania, poprzez poinstruowanie ComboFix jeszcze przed jego normalnym uruchomieniem. Procedura polega na pobraniu z poniższego linka paczki dyskietkowej zgodnej z wersją Service Packa zainstalowanego w systemie (XP SP3: proszę pobrać wariant XP SP2). Po ściągnięciu paczki nie należy jej uruchamiać ani rozpakowywać na własną rękę. Należy ją po prostu przeciągnąć i upuścić na ikonę ComboFix jak na poniższym obrazku. ComboFix w trybie automatycznym zamontuje z tej paczki Konsolę Odzyskiwania na dysku. A co dalej, patrz opis.

Dołączona grafika

----> Automatyczne zainstalowanie Konsoli Odzyskiwania. Podczas normalnego uruchomienia ComboFix, program przeprowadza detekcję, czy na dysku jest już zainstalowana Konsola. Zgłasza jej brak i pozwala poprzez stosowanie się do dialogów jej automatyczne zainstalowanie. Patrz na opis.

******************************************

Proszę przeczytać w jaki sposób można przywrócić system w razie katastrofy po użyciu ComboFix:

--------> Dołączona grafika Przywracanie systemu







Uruchamianie



INSTRUKCJA URUCHOMIENIA (AUTOMATYCZNE):


UWAGA: By wykluczyć konflikt działania między ComboFix a innymi programami, należy wyłączyć co się da i zamknąć wszystkie otwarte okna! Poza tym nie klikać w okno ComboFixa, nie ruszać myszką ani "klawiaturą" w trakcie trwania skanu. Nic nie wykonywać, zostawić komputer w "bezczynności" z własnej strony. W przeciwnym wypadku ComboFix może się zawiesić. Poza tym narzędzie tymczasowo "wyłącza" Pulpit i może pozostawić martwy Pulpit na totalnym zwisie, co wymusi konieczność resetu komputera.


1. ComboFix.exe uruchamiamy przez dwuklik. Pojawi się mini pasek postępu:

Dołączona grafika

2. ComboFix posiada moduł samoaktualizacji. Podczas uruchomienia sprawdza dostępność nowszych wersji, umożliwiając inicjowanie połączenia z serwerem i pobranie nowej kopii programu. Jeśli pojawi się komunikat poniższej treści, mimo możliwości pominięcia tego, należy wyrazić zgodę na aktualizację:

Dołączona grafika

Czasami pojawiają się całkowicie wymuszone aktualizacje, sygnowane jako "krytyczne", i jest to oczywista sprawa.

Łączenie z serwerami programu ComboFix . . .

################################## 48,5%


Dołączona grafika



(Jeśli kopia, którą się posługujecie, jest przestarzała, ale nie będzie dostępna aktualizacja, narzędzie zaproponuje uruchomienie w "trybie zredukowanej funkcjonalności")

3. W tej fazie działania aplikacja ma detekcję pracujących tłowo strażników programów ochronnych. W przypadku obecności aktywnej ochrony dostaniemy komunikat o następującej treści:

Dołączona grafika

Należy się zastosować do prośby komunikatu i wyłączyć ochronę. Jeśli to nie nastąpi, ujawni się kolejne ostrzeżenie, którego zatwierdzenie jest już prowadzone na własne ryzyko:

Dołączona grafika

(UWAGA: Jeśli jest pewność, że w systemie nie ma żadnego zainstalowanego programu, a mimo to nadal są widoczne komunikaty o aktywnej ochronie, należy przeczytać wątek Błędy / Skutki uboczne i zresetować Repozytorium).

4. Zainicjuje się interfejs linii komend oznajmiający rozpoczynanie pracy narzędzia. Otrzymamy pierwsze z okien z pytaniem czy uruchamiać program - wybieramy buttonik Yes / Tak:

Proszę czekać.
ComboFix rozpoczyna działanie.


Dołączona grafika



5. ComboFix zawiadomi o próbie utworzenia punktu Przywracania Systemu. Zostanie wykonany też kompletny backup rejestru przy udziale narzędzia ERUNT. Są to bardzo istotne kroki umożliwiające odzyskanie systemu w przypadku niepowodzenia jego startu po nieudanej dezynfekcji lub w wyniku innych niefortunnych okoliczności. Przypominam co musicie wiedzieć:

--------> Dołączona grafika Przywracanie systemu
--------> Dołączona grafika Przywracanie systemu

Proszę czekać.
ComboFix rozpoczyna działanie.

Próba utworzenia nowego punktu Przywracania Systemu


Dołączona grafika



6. Ten punkt nie dotyczy systemów Vista / Windows 7, aplikuje się tylko dla Windows 2000/XP: ComboFix przeprowadza sprawdzanie systemu na okoliczność obecności Konsoli Odzyskiwania (oczywiście w jej formie instalacyjnej na dysku twardym a nie .. CD). Brak tego mechanizmu jest notowany przez komunikat o treści:

Proszę czekać.
ComboFix rozpoczyna działanie.

Próba utworzenia nowego punktu Przywracania Systemu


Dołączona grafika





Co odpowiedzieć i z czym to jest związane:

Nie - Ominięcie instalacji Konsoli
Sytuacje, w których można pominąć ten krok:
  • posiadanie oryginalnej instalacyjnej płyty XP (wbudowany dostęp do Konsoli) ale nie w wersji Recovery dołączanej do laptopów (brak Konsoli!)
  • zrobiony przeze mnie osobiście obraz KONSOLA.ISO już nagrany jako gotowa płyta
  • ciężkie warunki systemowe uniemożliwiające pobranie czegokolwiek na dysk przy aktywnym połączeniu sieciowym albo też zupełny brak sieci w wyniku ingerencji infekcji
  • jesteś zaawansowanym użytkownikiem i wiesz o systemie dostatecznie dużo, by móc go postawić do życia niestandardowymi metodami


Tak - Zatwierdzenie instalacji Konsoli
Krok ten ogólnie jest silnie zalecany, a zwłaszcza musowy gdy:
  • brak jakiejkolwiek płyty CD (i możliwości jej wytworzenia) dającej dostęp do Konsoli Odzyskiwania
  • brak przeszkód ze strony samego systemu, by coś pobrać i zainstalować
  • jesteś początkujący, nie wiesz za dużo o systemie, przeraża Cię jego reinstalacja
Zgoda na instalowanie Konsoli na dysku wywołuje łączenie do serwera Microsoftu:

Łączenie z hxxp://download.microsoft.com . . .

##################################################### 74,9%


Po uzyskaniu 100% pojawią się dwa komunikaty licencji użytkowej, do zatwierdzenia:

Dołączona grafika

Dołączona grafika

Uruchomiony proces instalacji jest bardzo szybki, z postępem ekstrakcyjnym, finalizowany komunikatem o pomyślnym przeprowadzeniu procesu:

Łączenie z hxxp://download.microsoft.com . . .

######################################################################## 100,0%

Dołączona grafika




Na powyższym komunikacie wybranie odpowiedzi Tak umożliwi kontynuację skanowania za pomocą ComboFix (patrz następny punkt 7 opisu). Jest także możliwe przerwanie działania poprzez odpowiedź Nie - w tym przypadku ComboFix kończy działanie i wyświetla w Notatniku plik CF-RC.txt pokazujący raport z modyfikacji pliku BOOT.INI Windows wykonanej przez akcję zainstalowania Konsoli.



7. Rozpoczyna się właściwa procedura skanująca. W tym momencie ComboFix rozłącza internet i jest to normalne. ComboFix będzie przywracał łączność w późniejszej fazie (jeśli to nie nastąpi = patrz sekcja Skutki uboczne). Teoretycznie skan zajmuje do 10 minut, ale mocno zainfekowane komputery mogą mieć skan trwający o wieeeele dłużej.

Skanowanie w poszukiwaniu zainfekowanych plików . . .
Zwykle operacja ta nie zajmuje więcej niż 10 minut
W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie
przedłużyć


Podczas skanu ComboFix zmienia format zegara systemowego i nie manipulować na tym ręcznie (w późniejszej fazie go przywróci).

Skanowanie w poszukiwaniu zainfekowanych plików . . .
Zwykle operacja ta nie zajmuje więcej niż 10 minut
W przypadku mocno zainfekowanych komputerów czas skanowania może się nieznacznie
przedłużyć

ComboFix zmienił ustawienia twojego zegara.
Nie zmieniaj tych ustawień z powrotem, powinny one zostać przywrócone automatycznie


Usuwanie plików:

....


Skan jest kilkuetapowy, co obrazują znaczniki "Etap_Numer". Aktualnie faz jest około 50 (liczba ta zmienia się wraz z aktualizacjami narzędzia) i wszystko przeczekać cierpliwie:

Ukończono etap_1
Ukończono etap_2
Ukończono etap_3

....

Ukończono etap_23
Ukończono etap_24
Ukończono etap_25
Ukończono etap_26
Ukończono etap_27
Ukończono etap_28
Ukończono etap_29
Ukończono etap_30
Ukończono etap_31

...


Jeżeli usuwane obiekty będą wymagały restartu komputera, ComboFix poprosi o to:

Ponowne uruchamianie systemu Windows ... Proszę czekać

Proszę zezwolić programowi ComboFix na ponowne uruchomienie komputera.

(Po restarcie systemu znów będzie zgłaszana detekcja ochrony tłowej, w razie konieczności proszę postąpić tak samo jak na początku)

8. Finałowo ComboFix oznajmi, że przygotowuje log:

Przygotowywanie wyniku skanowania.

Nie uruchamiaj żadnych programów, dopóki ComboFix nie zakończy swojego działania


To może dość długo potrwać i czekać cierpliwie, nie uruchamiać żadnych programów. Może na chwilę zniknąć Pulpit (= ComboFix resetuje powłokę explorer.exe). Na końcu pojawi się ostatni komunikat z "prawie gotowe", podający też, gdzie będzie umieszczony plik loga:

Prawie skończono . . To okno wkrótce się zamknie
Proszę poczekać kilka sekund na pokazanie się wyników skanowania

Log wygenerowany przez program ComboFix znajdziesz w C:\COMBOFIX.TXT


Po pomyślnym ukończeniu pracy ComboFix przestawia z powrotem zegar systemowy a jego okno samoczynnie się zamyka. Zostanie automatycznie otworzony Notatnik z logiem, którego zawartość należy przekleić na forum.

Dołączona grafika

Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt. Jeśli ComboFix będzie uruchamiany więcej niż raz, pliki logów się rozmnożą i będą odpowiednio ponumerowane.





INSTRUKCJA URUCHOMIENIA (ZAAWANSOWANE):


UWAGA: Na forum, na podstawie logów tworzymy specjalne instrukcje usuwające w postaci skryptów do ComboFixa. Skrypty te będą zawierały komendy kasacji plików / folderów / usług / wpisów rejestru. Takie skrypty zostaną podane konkretnemu użytkownikowi indywidualnie. Są to skrypty unikatowe tworzone pod konkretny przypadek i proszę pod żadnym pozorem nie brać sobie w ciemno i nie uruchamiać, nawet jeśli objawy infekcyjne są takie same!


Jeśli o to poprosimy, należy otworzyć Notatnik (żaden inny procesor tekstu! ComboFix jest niekompatybilny z resztą) i w Notatniku wkleić co podamy. Plik zapisać pod nazwą CFScript.txt. Ten plik ma zostać przeciągnięty i upuszczony na ikonę ComboFixa, dokładnie jak na obrazku:

Dołączona grafika

To uruchomi ComboFix w specjalny sposób, to znaczy będzie poinstruowany by kasować to co wskażemy. Jednakże wygląd operacji z poziomu użytkownika wygląda tak samo jak podczas normalnego uruchamiania ComboFix z dwukliku. Czyli będzie przechodzenie przez całą wyżej opisaną procedurę. Log robi się też w taki sam sposób.

Proszę nie próbować samemu robić skryptów na podstawie "podpatrzenia" w cudzym poście!!






DEINSTALACJA NARZĘDZIA:

ComboFix posiada swój własny przełącznik /uninstall prowadzący usuwanie narzędzia z systemu. Zamiennie można skorzystać z prościutkiego narzędzia OTC, brak filozofii użytkowej (Vista / Windows 7: Uruchom jako Administrator).






Użytkownik picasso edytował ten post 12 04 2010 - 17:28


#3 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 02 04 2007 - 14:59

Kopie zapasowe


Proszę nie stosować ComboFix bez nadzoru!!



1.
ComboFix, niezależnie w którym z trybów uruchomiony, tworzy własny folder C:\Qoobox. Tam ma kilka własnych plików oraz cały backup usuwanych plików + wpisów szkodników.

Dołączona grafika


Jak przywrócić błędnie skasowany obiekt?

O ile damy takie instrukcje: należy wejść do folderu C:\Qoobox\Quarantine. Będą tam dwa główne foldery, jeden trzymający pliki, drugi kopię kasowanych wpisów rejestru. Wszystkie pliki kasowane przez Combofixa dostają rozszerzenie *.vir, zaś wpisy rejestru *.dat. Należy usunąć to extra rozszerzenie. Pliki przywrócić do pierwotnej ścieżki. Wpisy rejestru zostaną przywrócone poprzez dwuklik na pliki *.reg.





2.
Kopia rejestru stworzona przez program ERUNT ląduje w folderze C:\WINDOWS\erdnt:

Dołączona grafika
(Proszę przeczytać opis ERUNT, by zrozumieć w pełni co to za obiekty)


Jak odzyskać rejestr?

Zakładając, że coś się stanie i nastąpi fatalistyczny skutek usuwania infekcji / uszkodzenie plików rejestru (objaw: po uruchomieniu ComboFixa system już nie startuje), można przywrócić cały rejestr właśnie z folderu erdnt. Niestety to jest niemożliwe spod Windows (niestartującego). By móc wykorzystać kopię zapasową, należy:



Dołączona grafika Windows 2000/XP:

1. Zastartować do wspominanej już tutaj Konsoli Odzyskiwania.

2. W linii poleceń wpisać następujące komendy:

C:\WINDOWS>CD ERDNT\HIV-BACKUP

C:\WINDOWS\ERDNT\HIV-BACKUP>BATCH erdnt.con





Dołączona grafika Windows Vista / Windows 7:

1. Zastartować do wspominanego już tutaj modułu Recovery.

2. I tutaj są dwie możliwości, a preferowaną jest skorzystanie z tej pierwszej:

----> Najprostsza to wybranie opcji System Restore, czyli wywołanie od razu Przywracania systemu, korzystając z punktu Przywracania wytworzonego przez ComboFix przed dezynfekcją.

----> Druga możliwość to wybranie opcji Command Prompt (przejście do linii poleceń) i uruchomienie przywracania rejestru z kopii ERUNT. Polecenia są ciut inne niż w przypadku XP (zmiana napędu na dysk systemowy, przejście do ścieżki kopii zapasowych, wywołanie wariantu EXE narzędzia):

X:\SOURCES>C:

C:\>CD C:\WINDOWS\ERDNT\HIV-BACKUP

C:\WINDOWS\ERDNT\HIV-BACKUP>erdnt.exe









Użytkownik picasso edytował ten post 19 02 2010 - 12:50


#4 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 31 01 2008 - 21:48

Błędy / Skutki uboczne stosowania ComboFix


Proszę nie stosować ComboFix bez nadzoru!!



1. Podczas próby pobierania ComboFix z oficjalnych jego linków jest zwracany błąd 404. Przy założeniu, że linki działają (np. inni użytkownicy są w stanie pobrać narzędzie), jest to typowy znak blokowania pobierania tego narzędzia przez infekcję. Jedną z pierwszych był rootkit TDSSserv.sys, ale aktualnie jest więcej możliwości. Jeśli traficie na taką sytuację, proszę nie szukać na Google kopii tego narzędzia, tylko zgłosić się na forum = albo dobierzemy inne metody, albo jeden z Moderatorów na bieżąco pobierze ComboFix i tymczasowo przehostuje na innym adresie podając go w sposób niepubliczny via PW. Dla każdego z przypadków będziemy to wykonywać z osobna.


2. Podczas podejścia z uruchomieniem programu pojawia się komunikat typu "ComboFix.exe nie jest prawidłową aplikacją". Zwykle to może potwierdzać zainfekowanie systemu rootkitem Bagle. W tej sytuacji należy utworzyć raport z narzędzia FindyKill z opcji tworzenia loga 1.


3. Podczas uruchamiania występują błędy podobne do tego z punktu 2, lecz tyczące sub-składników np.: "NirCmd.com nie jest prawidłową aplikacją". To przeważnie oznacza, że podczas ściągania ComboFix na dysk w tle pracował jakiś strażnik antywirusowy i samoczynnie skasował flaki ComboFix uszkadzając narzędzie. Należy wyłączyć wszystkie strażniki i pobrać ComboFix ponownie na dysk.


4. Podczas uruchomienie ComboFix zgłasza komunikat o obecnościa strażnika strażnika antywirusowego, którego w ogóle nie ma w systemie. To może być wynik nieadekwatnych danych WBEM, co w wizualnej formie można spotkać również jako niezgodność danych Centrum zabezpieczeń (pokazującego fantomowe i nieobecne programy). Korekcja tego defektu następuje poprzez przebudowę Repozytorium wg tych kroków: KLIK.


5. ComboFix nie rozpoznaje systemu, twierdząc że jest uruchamiany na niekompatybilnym Windows: Wbrew temu co napisane w wymaganiach systemowych, podejmujesz próbę uruchomienia programu na nieobsługiwanej platformie czyli: serwerowej lub typu 64-bit. ComboFix nie jest przeznaczony dla tego typu platform (x64 = wymagane podpisy cyfrowe sterowników / brak ekwiwalentów 64-bit narzędzi składowych). Jeśli jednak teoretycznie są spełnione wymagania systemowego, będziemy badać tę "sprawę" na forum.


6. Podczas uruchamiania programu może wyskoczyć komunikat "This copy of Combofix has expired". To oznacza, że narzędzie jest przestarzałe i należy się zaopatrzyć w nowszą wersję narzędzia (jeśli nie jest ona dostępna, możliwe uruchomienie programu "w trybie zredukowanej funkcjonalności"). Lub że data systemu jest nieprawidłowa ;) ComboFix ma ograniczony czas działania i wygasa. Jest to prawidłowe i zapobiega stosowaniu zdezaktualizowanego builda. ComboFix po użytkowaniu i pomyślnej dezynfekcji należy usunąć z dysku.


7. ComboFix podczas skanowania celowo wyłącza internet. Powinien go na samym końcu przed utworzeniem loga samoczynnie przywrócić. Niestety tak nie zawsze się dzieje i po operacji ComboFixa pada całkowicie sieć. Proszę nie panikować, tylko po prostu zresetować komputer. Jeśli to nie pomoże, wywołać ręczną naprawę połączenia:
  • Jeśli ikonka sieciowa jest obecna w zasobniku, tam spożyć opcję.
  • Jeśli ikonki brak, udać się do: Panel sterowania >>> Połączenia sieciowe >>> z prawokliku na wybrane wybrać opcję Reperacji (XP) lub Panel sterowania >>> Sieć i internet >>> Centrum sieci i udostępniania >>> Diagnozuj i napraw (Vista)
Jeśli jednak i to nie przywróci łączności, proszę zgłosić się na forum z logami wymaganymi naszym ogłoszeniem, podając detale i rodzaj połączenia sieciowego (telefoniczne / szerokopasmowe etc..).


8. ComboFix deaktywuje Autoodtwarzanie dysków na bazie blokad w rejestrze, co ma znaczenie pod kątem zabezpieczeń (patrz: infekcje z pendrive). Jeśli jednak Autoodtwarzanie z jakiś względów jest konieczne, to można użyć Autoplay Repair Wizard (tylko dla systemu XP), lub zgłosić się do nas na forum po import rejestru. Przemyślcie jednak ten krok.


9. Skutkiem zamontowania (ważnej) Konsoli Odzyskiwania będzie pojawiające się przy każdym starcie komputera menu wyboru systemów. Jeśli ktoś chce się tego pozbyć, wystarczy odinstalować Konsolę Odzyskiwania. Instrukcje są zlokalizowane w jej opisie na naszym forum: KLIK. Proszę się jednak zastanowić nad tym krokiem, bo ogólnie warto posiadać dodatkowe koło ratunkowe.

Dołączona grafika


10. "Mój FlashGet się nie uruchamia!" - Tak, jest kwalifikowany na usuwanie. To już Wasza w tym głowa, by go przeinstalować na własne życzenie.





Użytkownik picasso edytował ten post 26 04 2009 - 06:39


#5 Gość_picasso_*

Gość_picasso_*
  • Goście

Napisano 25 04 2009 - 06:15

Cały opis poprawiony po raz kolejny. Piszę też tu w innej kwestii, tzn. należy tu utworzyć stosowny nacisk na pewne aspekty, bo źle się tu zaczęło dziać:



*****************************************

1. Przyklejone zasady w "działach bezpieczeństwa" innych miejsc w internecie, czyli sławna prośba o "log z ComboFix + HijackThis":



Dlaczego na searchengines.pl nie prosimy o log z ComboFix jako obowiązkowy

Niestety na naszym podwórku notuję te "przybłędy" będące konsekwencją odwiedzenia innych portali (z przyzwoitości przemilczę), gdzie wiszą nieprofesjonalne i chore zasady zagrażające użytkownikom, a polegające na podawaniu "loga z ComboFix" bez żadnych przygotowań ot tak na starcie w pierwszym poście z prośbą o pomoc. Użytkownicy czytają tamtejsze zasady i u nas idą na porządne skróty omijając z kolei nasze zasady, oraz nie wykazując zainteresowania albo podejrzeń czy na pewno to wszystko jest bezpieczne i optymalnie dobrane. Może zacznijmy od argumentu nie do zbicia, czyli tego co ma na ten temat do powiedzenia sam autor programu ComboFix (a nie osoba pośrednia): KLIK. Pisząc po polsku i zrozumiale dla przeciętnego użytkownika:

Dlaczego nie

  • Nie jest znana w ogóle sytuacja systemu, i nie ma pewności czy uruchomienie tego programu nie wyeksportuje systemu użytkownika do grobu, albo czy jest konieczne jego używanie. System musi być wstępnie sprawdzony w inny sposób.
  • ComboFix to nie jest narzędzie do "tworzenia loga", tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system.
  • Użytkownicy, którzy prawdopodobnie mają czysty system, są w paskudny sposób zmuszeni do przejścia przez ingerencyjną rundę skanującą, tylko po to by "wytworzyć log"?! To nigdy nie jest w pełni "tylko-do-odczytu", a w skutek nieszczęśliwego zbiegu okoliczności czy pecha może się zdarzyć, że zostanie nawet pogorszony stan dotychczas sprawnego Windows.
  • Procedury ComboFix w szczególnych przypadkach mogą doprowadzić do uszkodzeń systemowych (błędne użycie programu, interakcja z określoną infekcją lub innym oprogramowaniem, nieprawidłowy restart komputera, błąd programowy etc...)
  • Uruchamianie ComboFix musi zostać zatwierdzone przez osobę, która prowadzi pomoc dla danego użytkownika, a jest dostatecznie wykwalifikowana, by umieć ocenić sytuację.
  • Osoba stosująca to narzędzie musi być pilotowana i poinformowana o środkach ostrożności
  • Praca tego narzędzia musi zostać zweryfikowana przez wykwalifikowaną osobę, w celu interpretacji czy pewne obiekty zostały skasowane w sposób słuszny, lub czy jest konieczne podjęcie specjalnych kroków odzyskowych albo czyszczących.
  • Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix"



Te przyklejone zasady na innych portalach bardzo zaszkodziły, bo zbagatelizowały moc programu i wytworzyły całkowicie błędne wrażenie, że ten proces jest zupełnie bezpieczny i "multi-funkcyjny".


Konsekwencje

  • Użytkownicy biorący ten program do ręki nie stosują się do "dialogów" programu i omijają procedury bezpieczeństwa (a jeśli nawet nie = to i tak nie wiedzą o co w tym chodzi), m.in. dlatego że albo brak takich wytycznych w obcych zasadach albo jest to umniejszone jakby było nieistotne, bo jak też można inaczej zrozumieć wykonanie obowiązkowego loga podkreślonego zasadami. Co drugi log ma znacznik "TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA". To jeszcze byłoby w porządku, gdyby użytkownik wiedział co to oznacza i posiadał wiedzę o alternatywie (płyta CD XP). Niestety, mam tu kilka całkiem niezłych przykładów działania na opak, tzn. na moje pytanie czy to celowe z ominięciem instalacji tego + czy jest w takim razie wiadome jak skorzystać z Konsoli padła odpowiedź negatywna ..... A nawet jeśli Konsola zostaje zainstalowana (przez bezrozumne klikanie "dalej"), to i tak użytkownik nie wie jak z niej skorzystać ... Poza tym, użytkownicy patrzą na proces chyba całkowicie bezmyślnie i nie interesują się co jest grane i np. po co do diaska działa tam w tle jakiś tajemniczy ERUNT tworzący kopię zapasową rejestru. Po co, skoro to przecież taki bezpieczny nieingerencyjny programik.....
  • Wystąpiły dewiacje użytkowe polegające na nadużywaniu oraz stosowaniu tego programu niezgodnie z jego przeznaczeniem tzn. do kompletnych bzdur, bądź też interwencji nie mających żadnych ale to żadnych kwalifikacji na wszczynanie tak potężnego mechanizmu. ComboFix nie służy do: usuwania plików i wpisów które mogą zostać wyeliminowane na tysiąc innych lekkich sposobów (pliki REG / BAT / inne programy o mniejszym stopniu ingerencji), zarządzania autostartem, czyszczenia drobnych nieaktywnych resztek, usuwania obiektów nie zablokowanych niczym. Jest masa narzędzi w arsenale, które wykonują tę robotę i czynią to w lepszy sposób, bez szkody dla użytkownika, a także zapewniają większą kontrolę nad instrukcjami i pozwalają "ptaszkami" odkręcać zmiany.
  • Bardzo mnie wkurzają tiki nerwowe różnych userów, którzy w różnych działach forum (właśnie: wcale nie chodzi o Wirusy nawet!) zaczynają widzieć jako solucję dla kogoś innego uruchomienie tego programu. Niezależnie od tego o czym napisał proszący o pomoc (np..... w dziale sprzętowym!!!!), pojawiają się niepożądane nonszalanckie prośby "daj log z ComboFix". Pardon. Moja rada: nie Tobie radzić w tej materii, bo nie jesteś moderatorem działu Wirusy i na naszym forum nie masz kwalifikacji uprawniającej Cię do zalecania tego programu (a i przypuszczalnie nawet nie umiesz ocenić pracy tego programu).
  • Przeciętny użytkownik komputera też zaczyna w ten sam sposób myśleć. Skoro widzi program: linkowany na portalu oprogramowania, krzyczący z "zasad podawania logów", oraz obserwuje że jego koledzy oraz osoby rzekomo wykwalifikowane (kwalifikacja jest mitem, bo pada prośba o log z CF jako obowiązkowy do pokazania!) w analizie logów tak hojnie nim szastają i używają przy byle okazji, nabiera przekonania, że jest to cudowny środek na wszystkie bolączki i "gumka systemowa". Zaczyna go stosować w domu przy każdym pojawiającym się problemie, regularnie się tym "skanować", przenosić na pendrive / pieścić na dysku systemowym. Absurdy zanotowane u nas na forum: "skanuję się regularnie ComboFixem" (sic!), "przeskanowałem się ComboFixem ale nic nie wykrył" (sic!), dobrze widoczne w logach ścieżki dostępu kierujące do folderów o niebudzących wątpliwości sformułowaniach "D:\Przydatne programiki\Do usuwania syfu\ComboFix.exe" (sic!), "czy jest sposób jak puścić ComboFix na multi-maszynach w sieci" (sic!). I wreszcie są i takie rzeczy jak tragiczne konsekwencje samowoli.... skutek śmiertelny, bo użyć program potrafił ale już uratować system po jego zastosowaniu nie bardzo.
  • Szkodliwa popularyzacja narzędzia w linkowniach oprogramowania (zarówno polskich jak i zagranicznych). Jest to niezgodne ani z wolą autora, ani z gatunkiem programu. Ten program jest specyficznym narzędziem wewnętrznego użytku stosowanym tylko w określonych sytuacjach i na prośbę osób kwalifikowanych w miejscach ku temu przeznaczonych (forum dedykowane walce z malware). Upublicznianie tego w tak nachalny sposób łamie te zasady oraz prowadzi do szkód. Osoba linkująca ten program udawadnia, że nie rozumie jego budowy i przeznaczenia. Zaś osoby niedoświadczone widząc powszechny opis w kontekście linkowania, i to pozbawiony jakże ważnych elementów związanych z bezpieczeństwem użytkowym, czują się zachęcone do jego pobrania i stosowania we własnym zakresie. A to jest niedopuszczalne. To narzędzie nie jest skanerem typu CureIt czy Kaspersky Removal Tool. W moim dziale Darmowe oprogramowanie nie ma tego programu.
  • Narzędzie staje się z jakiś powodów niedostępne, i już wszyscy są jak bez ręki. Zarówno "analizatorzy", jak i sami użytkownicy. Tak jakby tylko ComboFix istniał na świecie. A jest przecież tyle różnych metod wytwarzania raportów oraz usuwania. Jeśli osoba prowadząca pomoc nie umie rozwiązać zadania bez pomocy ComboFix, to znaczy że nie zna się na tyle, by móc udzielać pomocy.




 

Jak postępujemy na searchengines.pl

Nasze zasady

  • Obowiązkiem naszego działu Wirusy jest podawanie logów specyfikowanych ogłoszeniem, w którym to nigdy nie było żadnej prośby o "log z ComboFix". Ogłoszenie prosi o wykonanie logów z programów nieingerencyjnych takich jak OTL / DDS (a nie ComboFix!) oraz Gmer. Log z HijackThis nie jest tu wymagany i pożądany, ponieważ wspomniane tu obowiązkowe logi są bardziej poszerzone, a równocześnie i tak mają jego emulację i znajdziecie tam "identyfikatory HijackThis" nieobecne w oryginale. Olewany Gmer jest po to, by zdiagnozować czy w systemie nie występuje jakiś rootkit, który albo może mieć niepożądany wpływ na ComboFix i inne specjalistyczne narzędzia, albo ma być za pomocą ComboFix usuwany.
  • Dopiero po analizie owych logów + sprawdzeniu systemu pod kątem rootkitów, możemy decydować czy używać ComboFix, oraz w jaki sposób go wykorzystać. Istnieje wiele metod usuwania, w tym takie, które mają mniejsze pole rażenia, i to już nasza głowa w tym jak je dobrać. Użytkownik nie może wykazywać samowoli, skoro nawet nie potrafi sam siebie zdiagnozować!
  • Jeśli jednak poprosimy o użycie ComboFix proszę też nie kręcić nosem i wykonać polecenia. Bo też i następne skutki uboczne ostrzeżeń tu omawianych: użytkownik zbyt wystraszony opowieścią w ogóle nie podejmie się zadania. Tak też nie może być. Jeśli prosimy (wiemy co robimy), jeśli zostaną zachowane środki bezpieczeństwa użytkowego, nie ma też co dostawać paranoji.
  • By nie zarzucić nam niekonsekwencji: na bazie wyjątku, z pewnych istotnych powodów, na podstawie mojej własnej oceny sytuacji mogę poprosić o użycie tego narzędzia w pierwszej kolejności przed innymi, podkreślam: z istotnych powodów.
  • By była też jasność: ja nie odmówię pomocy osobie, która zgłosi się z nieprawidłowym zestawem logów, ale osoba ta zostanie i tak skierowana do naszych zasad, i będzie musiała je przyczytać + wdrożyć. I nie otrzymujecie gorszej pomocy poprzez brak zastosowania ComboFix - wręcz przeciwnie.
  • Proszę się przyznać, jeśli użyto ComboFix bez nadzoru. Nie zatajać tego przed nami w skutek "nastraszenia regulaminem", bo ukrycie wyników jego pracy może zaciemnić sytuację i nas wprowadzić w błąd. Wprawdzie potrafimy się zorientować po pewnych rzeczach, że był stosowany, ale nie zawsze. Jeśli już ktoś go użył, proszę załączyć log i się wyspowiadać.






 

*****************************************

2. Odpowiedź na dwa pytania, na które wpadają tu użytkownicy w regularnych odstępach czasu lub insynuują te wątki: dlaczego brak tutaj informacji takich jak instrukcja analizy loga albo spis poleceń do skryptów.


Analiza loga
Wybaczcie, ale jeśli nie potraficie go przeczytać bez "instrukcji", to znaczy że nie znacie na tyle samego systemu, co jest podstawą dla analizy logów. Podanie instrukcji tego typu jest całkowicie zbędne, bo raz że za ten temat mają się brać tylko osoby dostatecznie wytrenowane / doświadczone, dwa że i tak nie ma tego po co robić. Raport z ComboFix jest przeformatowany w sposób nie budzący wątpliwości, i osoba która widziała rejestr + katalog systemowy z całkiem innych powodów niż "poinstruowanie przez kogoś" czyta z tego z zamkniętymi oczami. Jeśli pada pytanie o to jak to analizować, brak dostatecznej wiedzy o miejscach systemowych oraz prawidłowościach komponentów. Poza tym, gotowiec tworzy zespół indolencyjnych małp, które natrafiając na rzecz nieopisaną w tutorialu już nie potrafią zaradzić i rozkładają ręce, bo są przyssane do opisu i nie posiadają własnej wyobraźni. Brak opisów jak też to prowadzić ową "analizę ComboFix" ograniczy liczbę pseudoekspertów i pozwoli nam uniknąć repety z HijackThis. Do czego zmierzam, do tego narzędzia jest tutorial a skutki tego są następujące: użytkownik umie analizować log z HijackThis, ale jednocześnie nie potrafi zanalizować innych logów. Wniosek: nie potrafi nawet tego pierwszego, bo wszystkie logi pokazują te same miejsca w systemie, tylko ich formatowanie jest nieco inne. Po prostu kucie na pamięć bez zrozumienia i tyle.



Spis poleceń
Informacje te mają charakter niepubliczny z bardzo określonych powodów i nie są udostępniane od źródła. Wszelkie dostępne na Google "opisy" budowy CFScript to czysta inżynieria wsteczna na podstawie przesłanek pośrednich i domysłów, na dodatek przeprowadzona w sposób niekompletny i amatorski. Z mojego punktu widzenia najważniejszy powód, dla którego podawanie takich poleceń i istnienie mimetycznych "instrukcji" jest bardzo ale to bardzo niepożądane to zestawienie potężnego programu o właściwościach paralizatora systemu z następującymi modelami użytkowników:

- Użytkownik, któremu się wydaje, że jest zaawansowany. Osoby niewykwalifikowane, nie umiejące wystarczająco dużo by prowadzić tak poważną pomoc, zaczynają jej udzielać - często obierając błędne metody. Takim skryptem można komuś załatwić system. Taki skrypt nie jest potrzebny do kosmetyki systemowej!
- Użytkownik początkujący dostanie w ręce potężną broń samodestrukcji. Śmiem twierdzić, że z tego skorzysta. Po pierwsze już to widziałam na forum w dwóch wariantach: użytkownik bierze skrypt przeznaczony do cudzego (!) przypadku i próbuje go sobie ładować, użytkownik podejmuje nieudolną dezynfekcję ze skutkiem w usunięciu prawidłowych plików. Po drugie: zdesperowany user jest pozbawiony logiki działań, chce się pozbyć problemu, widzi że istnieje taki sposób, a przez formę jego podania bagatelizującą zagrożenie nabiera całkowicie błędnego wrażenia, że da radę to sam wykonać, .... z tragicznym skutkiem. To jest proste: jeśli użytkownik nie potrafi nawet zdefiniować infekcji i wykonać poprawnej analizy loga (patrz wyżej), to znaczy tym bardziej nie powinien w żadnym ale to żadnym wypadku tworzyć samodzielnie takich skryptów.

W moim dziale Wirusów osoby uprawnione do konstruowania skryptów to są moderatorzy.




Wielka prośba do wszelkich polskich forów bezpieczeństwa i portali oprogramowania o usunięcie:
- ze swoich zasad działu prośby o obowiązkowy log z ComboFix (lub wątków sugerujących podawanie tego loga w startowej prośbie o pomoc)
- ze swoich opisów stosowania ComboFix (i tak niepełne) instrukcje ręcznego produkowania skryptów
- programu z linkowni i odniesień do "znakomitego skanera"
Zdaję sobie sprawę, że to walenie w ścianę, i jeszcze na dodatek zapewne wzbudzi to uśmieszki politowania. Ale Wy zdajcie sobie sprawę jak to "profesjonalnie" wygląda, na co narażacie użytkowników, i że jest to wbrew autorowi programu ComboFix.






.



#6 Natsuki Kuga

Natsuki Kuga

    Very Good Rank

  • Na emeryturze
  • 1045 postów
  • Płeć:Wybierz

Napisano 19 07 2010 - 19:12

Adnotacja dla czytających zarówno ten, jak i inne tematy przyklejone/ogłoszenia:

Jak wiemy, użytkowniczka @picasso nie gości już na tym forum. Co za tym idzie, tematy napisane przez nią tu nie pozostaną. Zostaną zastąpione nowymi, zaktualizowanymi opisami użycia programów/wykonania czynności/lekko zmienionym regulaminem działu (jak widać większość z nich jest po prostu przestarzała) już za jakiś czas. Nie zdziwcie się, jeśli na razie będą one częściowo rozwalone (np. odniesienia w pierwszym poście nie będą odnosić się do tego opisu lub podobne), będzie brakować kliku postów lub po prostu któryś wątek zniknie na kilka dni.

Miłego czytania :unsure:




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych