/https://www.ilsoftware.it/app/uploads/2023/05/img_8552.jpg "Guida all'uso di Combofix, il programma che elimina i malware più pericolosi e radicati")
Quando si ha a che fare con il “lavoro sporco” legato alla rimozione di gran parte delle minacce che affliggono i sistemi Windows, Combofix è uno degli strumenti che si è guadagnato un’ottima fama a livello mondiale. Sebbene non goda di un’interfaccia grafica ed il suo funzionamento induca qualche timore in alcuni utenti, Combofix si è da sempre messo in evidenza come un programma eccellente per l’eliminazione dei malware più pericolosi.
Il suo utilizzo è molto semplice perché, una volta scaricato ed eseguito, esso s’incarica di effettuare una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentandone la disinfezione automatica.
Prima di presentare Combofix è bene soffermarci su una doverosa precisazione. Il software si propone come un’utilità estremamente potente per la rimozione delle minacce eventualmente presenti sul personal computer in uso. L’impiego del programma dovrebbe essere limitato solamente a quelle situazioni in cui la presenza di un malware sul sistema in uso è ormai conclamata.
Combofix, quindi, non dev’essere mai utilizzato come software per la scansione del sistema alla ricerca di eventuali infezioni (per queste operazioni è consigliabile orientarsi su un programma quale Malwarebytes’ Anti-Malware, già presentato in questi nostri articoli).
Sui sistemi ove altri software antimalware non sono riusciti a sradicare completamente le infezioni, tuttavia, Combofix sa comunque dare il meglio di sé.
Diversamente rispetto a quanto accadeva in passato, quando Combofix non era utilizzabile sulle versioni di Windows più recenti (Windows Vista e Windows 7), l’utilità è adesso capace di supportare qualunque sistema operativo Microsoft, da Windows XP in avanti. Nel caso di Windows Vista e Windows 7, come garantisce lo stesso autore del programma, Combofix è compatibile sia con le versioni a 32 che a 64 bit.
L’autore di Combofix, comunque, tende ad evidenziare più volte come l’utilizzo della sua applicazione debba generalmente avvenire sotto la supervisione di un utente esperto. In ogni caso, qualora si fosse intenzionati ad avviare l’utilità, accertata la presenza di malware sul proprio sistema, si potrà comunque provvedere autonomamente tenendo presente che l’operazione viene effettuata sotto la propria responsabilità.
Cosa fare prima di eseguire Combofix
L’applicazione, non appena avviata, provvederà in primis a creare un punto di ripristino del sistema. Qualunque versione di Windows si stia usando, Combofix invocherà in background l’utilità “Ripristino configurazione del sistema” integrata nel sistema operativo e richiederà la generazione di punto di ripristino ossia di un'”istantanea” che permetterà di ripristinare la configurazione dell’intero sistema allo stato attuale nel caso in cui dovessero presentarsi dei problemi.
Prima di ricorrere a Combofix è quindi sempre bene verificare di essere in grado di accedere all’utilità “Ripristino configurazione del sistema“, anche nella malaugurata ipotesi in cui il sistema non dovesse avviarsi.
Installazione della console di ripristino su Windows XP
Su Windows XP, Combofix deve essere avviato da un account dotato dei diritti di amministratore. All’avvio dell’applicazione, dopo alcuni secondi di attesa, sarà visualizzata la schermata seguente:
Di solito Combofix dovrebbe mostrare il messaggio “Combofix ha rilevato che questa macchina non ha la Console di ripristino di emergenza“. Ciò significa che su sistema Windows XP in uso non è presente la speciale console che offre una serie di strumenti per riportare il sistema ad uno stato funzionante. Cliccando su Sì, Combofix provvederà a scaricare dal sito web di Microsoft il file d’installazione della console di ripristino (è indispensabile disporre di una connessione attiva e funzionante). A download avvenuto si dovrà cliccare su OK quindi ancora una volta su Sì:
Alla comparsa del messaggio seguente si dovrà fare clic sul pulsante Sì per avviare la scansione malware con Combofix:
Come avviare il ripristino del sistema su Windows Vista e Windows 7
Prima di scaricare ed eseguire Combofix su un sistema Windows Vista e Windows 7 è invece bene accertarsi di essere in grado di accedere allo strumento che permette il ripristino del sistema in caso di problemi. Dopo aver riavviato il personal computer, durante la fase di boot, prima della comparsa della schermata “Avvio di Windows“, si dovrà ripetutamente premere il tasto F8. Apparirà un menù simile al seguente:
La voce da utilizzare (pressione del tasto Invio) è la prima. Dopo alcuni istanti di attesa, si potranno selezionare lingua e layout di tastiera preferiti quindi digitare la password associata all’account dotato di diritti amministrativi:
La seconda voce (Ripristino configurazione del sistema) consentirà di riportare Windows ad uno stato precedente:
Con un clic su Avanti, solo non appena si sarà eseguito Combofix, si dovrebbe vsiualizzare il punto di ripristino Combofix created restore point:
Per visualizzare tutti i punti di ripristino disponibili, si può eventualmente spuntare la casella Mostra ulteriori punti di ripristino.
Con un clic, ancora, sul pulsante Avanti si potranno annullare le modifiche operate da Combofix e riportare il sistema ad uno stato precedente.
Disattivazione della protezione antivirus
La seconda operazione consiste nel disattivare temporaneamente la protezione in tempo reale offerta dal software antivirus installato sul sistema. L’azione dell’antivirus in uso, infatti, può interferire negativamente con il funzionamento di Combofix impedendo al programma di svolgere una serie di controlli e di interventi di pulizia.
Qualunque sia il software antivirus utilizzato, solitamente è sufficiente arrestare la funzionalità di protezione in tempo reale agendo sull’interfaccia del programma.
Nell’esempio in figura mostriamo la voce Realtime protection enable che permette di disabilitare e riabilitare il modulo di Avira Free Antivirus incarico della scansione in tempo reale. La procedura è comunque molto simile anche nel caso degli altri prodotti antivirus.
Se necessario, rinominare il file eseguibile di Combofix
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, è possibile che sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la rimozione delle minacce. Al momento del download dell’applicazione, quindi, suggeriamo di salvarla su disco non con il nome predefinito – ovvero ComboFix.exe – ma con un’altra denominazione (ad esempio abc123.exe o qualcosa di simile).
Come effettuare una scansione del sistema e rimuovere eventuali malware su Windows XP, Windows Vista e Windows 7
Qualunque sia la versione di Windows in uso, per avviare Combofix è sufficiente fare doppio sul suo eseguibile. L’importante è che, in ogni caso, l’operazione venga effettuata da un account utente dotato dei diritti di amministratore. Su Windows Vista e Windows 7 comparirà la classica finestra di UAC attraverso la quale si dovrà accordare il permesso a Combofix di alterare la configurazione del sistema:
Dopo aver fatto clic sul pulsante Sì, Combofix estrarrà tutti i file necessari per svolgere scansioni e pulizia in una cartella di sistema creata nella directory radice dell’unità C:. A tale cartella viene assegnato un nome casuale ed al suo interno vengono posizioni decine di file batch, script ed eseguibili che consentono di attivare, l’una dopo l’altra, delle attività di disinfezione del sistema.
Il messaggio seguente ricorda di procedere alla disabilitazione della funzionalità di scansione in tempo reale del software antivirus installato sul personal computer:
Diversamente rispetto alle precedenti versioni di Combofix, il programma entrerà subito in azione disponendo dapprima la generazione di un punto di ripristino del sistema:
Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l’utility ERUNT sia presente sul sistema dato che Combofix la integra nel suo pacchetto.
Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l’indisponibilità della connessione, tenete presente che è un comportamento del tutto normale. Il software modificherà anche le impostazioni dell’orologio di sistema che verranno comunque riportate allo stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente regolare.
Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare (“stage”) sono più di una cinquantina: è indispensabile attendere pazientemente che il programma abbia terminato tutte le attività.
E’ bene ricordare di non cliccare mai sulla finestra di Combofix altrimenti è probabile che il processo di scansione vada in blocco.
Qualora il firewall informasse circa la sostituzione di alcuni driver è indispensabile acconsentire allo svolgimento di tale operazione.
Infine, è di fondamentale importanza attendere il completamento di tutte le attività di scansione e di rimozione malware espletate da Combofix: sintanto che non apparirà il resoconto finale in formato testuale non si dovrà né chiudere l’applicazione né riavviare forzosamente il sistema operativo. In tali situazioni, infatti, potrebbero verosimilmente verificarsi malfunzionamenti o si potrebbero presentare spiacevoli comportamenti.
Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome combofix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che Combofix non fosse riuscito a sradicare.
Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a rimuovere oltre agli eventuali oggetti nascosti che, con buona probabilità, evidenziano la presenza di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non lanciarsi in interventi “alla cieca” che avrebbero come risultato solo quello di causare problemi al funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad esempio, nei forum e nei gruppi di discussione).
Suggeriamo di salvare il log C:\ComboFix.txt insieme con quello di Malwarebytes’ Anti-Malware in modo da averlo a portata di mano nel caso in cui un esperto dovesse richiederlo (per maggiori informazioni è possibile fare riferiment al forum de IlSoftware.it sul quale, previa iscrizione, è possibile inviare i propri quesiti).
Disinstallazione di Combofix e gestione dei punti di ripristino in Windows XP
Durante il suo funzionamento, Combofix crea sul disco fisso una cartella denominata Qoobox all’interno della quale il programma provvede a memorizzare file di backup ed oggetti posti “in quarantena” (generalmente file correlati all’azione dei malware rilevati sul sistema in uso).
Nel caso in cui si avesse la certezza assoluta di aver eliminato le varie minacce e che Windows sia stabile e funzioni in modo regolare, è possibile richiedere la disinstallazione di Combofix. E’ necessario procedere con cautela dal momento che disinstallando il programma, verranno anche rimossi tutti i backup ed i file eventualmente posti in quarantena.
Sia in Windows XP che in Windows Vista e Windows 7 per disinstallare Combofix si dovrà fare clic sul pulsante Start quindi avviare il comando seguente (da digitare nella finestra Esegui su XP e nella casella Cerca programmi e file su Vista e Windows 7):
Al termine dell’operazione dovrà comparire il messaggio “ComboFix in uninstalled“.
CFScript.txt ed inserendovi gli elementi da rimuovere, Combofix provvederà ad eliminarli.Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati all’azione di qualche malware, è sufficiente specificare espressamente nel file
CFScript.txt il loro percorso ed il loro nome.
Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D51-14E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“50076d7b”=-
In questo caso, viene richiesta l’eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO maligno e di un valore nocivo inserito da qualche malware nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere – (“meno”). Nel primo caso (BHO) viene richiesta la cancellazione di un’intera chiave del registro di Windows mentre nel secondo solamente del valore specificato (“50076d7b” è, in questo caso, il nome del valore).
Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt sull’eseguibile del programma.
CD C:\
CD "system volume information\_resto~1"
DIR
L’ultima istruzione consentirà di ottenere l’elenco completo dei file e delle cartelle contenuti nella sottodirectory "system volume information\_resto~1".
Si noterà la presenza di una serie di cartelle col prefisso RP (abbreviazione di “restore point“). Il punto di ripristino creato più di recente dovrebbe essere quello generato da Combofix.
Per procedere al ripristino manuale si dovranno digitare i comandi seguenti:
(sostituendo la lettera “n” con il numero del punto di ripristino scelto)
CD SNAPSHOT
COPY _Registry_machine_system C:\Windows\System32\Config\System
COPY _Registry_machine_software C:\Windows\System32\Config\Software
COPY _Registry_machine_sam C:\Windows\System32\Config\Sam
COPY _Registry_machine_security C:\Windows\System32\Config\Security
COPY _Registry_user_.default C:\Windows\System32\Config\Default
A questo punto si potrà uscire dalla console e riavviare il sistema digitando il comando exit.
Rimozione della console di ripristino in Windows XP. I link per il download di Combofix.
Per eliminare la console di ripristino di Windows XP rimuovendo anche la voce corrispondente dal menù di avvio presentato al boot del personal computer, si dovrà accedere alla finestra Risorse del computer, cliccare sul menù Strumenti, Opzioni cartella quindi sulla scheda Visualizzazione. Qui si dovrà selezionare l’opzione Visualizza cartelle e file nascosti e togliere il segno di spunta dalla casella Nascondi i file protetti di sistema rispondendo Sì alla comparsa della successiva finestra di dialogo.
Sempre nella medesima finestra, si dovrà disattivare la casella Utilizza condivisione file semplice.
Dalla finestra Risorse del computer, si dovrà accedere al disco C:, fare clic con il tasto destro del mouse sulla cartella Cmdcons, scegliere la voce Proprietà quindi la scheda Protezione. Qui si dovrà selezionare l’account Everyone quindi cliccare sul pulsante Rimuovi.
Utilizzando un account utente dotato di diritti amministrativi, si dovranno rimuovere la cartella Cmdcons ed il file Cmldr:
A questo punto è possibile passare all’eliminazione delle voci di boot legate all’avvio della console di ripristino.
In primis è indispensabile fare clic con il tasto destro del mouse sul file boot.ini, selezionare Proprietà quindi togliere l’attributo di sola lettura (la casella “Sola lettura” dev’essere deselezionata):
Confermando la modifica premendo il tasto OK quindi facendo doppio clic sul file boot.ini, si dovranno infine eliminare le righe seguenti:
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
Salvando il file boot.ini (menù File, Salva) e riavviando il personal computer, non dovrebbe essere più visualizzato alcun menù di boot.
Considerata la vasta popolarità di Combofix, in Rete sono spuntati molteplici siti web che offrono versioni “fasulle” e quindi potenzialmente nocive dell’applicazione. Visitando tali pagine web si rischia di effettuare il download di oggetti dannosi o comunque di inviare denaro nelle casse di persone scorrette che si approfittano della popolarità di Combofix per interesse personale.
L’unica pagina web dalla quale è possibile scaricare Combofix è quella raggiungibile facendo clic su questo collegamento oppure utilizzando la nostra scheda.
Suggeriamo di effettuare sempre il download di Combofix dal web dal momento che il programma è oggetto di continui aggiornamenti ed ottimizzazioni.
/https://www.ilsoftware.it/app/uploads/2024/04/Sconto-del-50-600x240.webp "Incogni: sconto del 50% sul piano annuale per proteggere la privacy")
/https://www.ilsoftware.it/app/uploads/2024/04/Offerta-Trend-Casa-FineTutela-97.png "Antivirus Incogni, sconto del 50% sul piano annuale")
/https://www.ilsoftware.it/app/uploads/2024/03/norton-family-1.jpg "Norton Family in sconto: sicurezza online per i tuoi bambini a prezzi accessibili")
/https://www.ilsoftware.it/app/uploads/2024/04/Offerta-Trend-Casa-FineTutela-68.png "Antivirus Norton 360 Standard: sconto del 60%")