Dopo alcuni secondi di attesa, comparirà la finestra principale del programma in caratteri DOS. Per avviare la scansione del sistema, è necessario premere il tasto 1 seguito da Invio.

Combofix creerà, innanzi tutto, un punto di ripristino (ved. più avanti la sezione dedicata alla funzionalità "Ripristino configurazione di sistema" di Windows), utile nel caso in cui dovessero presentarsi problemi dopo aver apportato gli interventi sul sistema.

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l'utility ERUNT sia presente sul sistema dato che Combofix la integra in sé.

Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente normale.

Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare ("stage") sono al momento 48: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività. Si ricordi anche di non cliccare sulla finestra di Combofix altrimenti il processo di scansione è possibile che si blocchi.
Qualora il firewall vi informasse circa la sostituzione di alcuni driver, si consenta l'operazione.

Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome ComboFix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non sia riuscito a sradicare.

Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti (rilevati appoggiandosi al software GMER) che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi "alla cieca" che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad esempio, nei forum e nei gruppi di discussione).

Ad esclusivo beneficio dei più esperti, diciamo che Combofix è in grado di eliminare file ed informazioni dal registro di sistema su richiesta dell'utente. La procedura è estremamente delicata ed è bene che venga posta in essere solamente dalle persone più smaliziate. Creando, nella stessa cartella in cui si è memorizzato l'eseguibile di Combofix, un file di testo dal nome CFScript.txt ed inserendovi file e chiavi di registro da rimuovere, Combofix provvederà ad eliminarle. Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati a malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il loro nome.

Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=-

In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO maligno e di un valore nocivo inserito da qualche malware nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" è, in questo caso, il nome del valore).

Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt sull'eseguibile del programma. Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti più esperti. L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle applicazioni installate può provocare spiacevoli problemi.

SmitFraudFix e HijackThis

Un altro software molto utile in fase di eliminazione di infezioni molto diffuse è SmitFraudFix. Prelevabile da qui, suggeriamo di eseguirlo preferibilmente in modalità provvisoria (ved. il paragrafo seguente).

HijackThis è un altro software tra i più utili in circolazione dato che è in grado di raccogliere le informazioni relative alla configurazione del sistema. E' bene tuttavia rimarcare come HijackThis non includa alcuna funzionalità per la rimozione di componenti malware.
Si tratta quindi di un programma, appannaggio degli utenti più evoluti, eccellente nella fase di recupero delle informazioni collegate alla configurazione di Windows. Una completa guida all'uso di HijackThis contenente alcuni esempi pratici, è consultabile facendo riferimento a questa pagina.
Il software suddivide in più gruppi (R1, R2, O1, O2, O3,...) le informazioni presenti nelle varie aree critiche del sistema operativo. In questo articolo evidenziamo tutte le differenza fra i vari raggruppamenti.