UTILIZZO DI COMBOFIX

Quando si ha a che fare con il "lavoro sporco" legato alla rimozione di gran parte delle minacce che
affliggono i sistemi Windows, Combofix è uno degli strumenti che si è guadagnato un'ottima fama
a livello mondiale. Sebbene non goda di un'interfaccia grafica ed il suo funzionamento induca
qualche timore in alcuni utenti, Combofix si è da sempre messo in evidenza come un programma
eccellente per l'eliminazione dei malware più pericolosi.
Il suo utilizzo è molto semplice perché, una volta scaricato ed eseguito, esso s'incarica di effettuare
una scansione del sistema alla ricerca di un ampio gruppo di malware conosciuti tentandone la
disinfezione automatica.
Prima di presentare Combofix è bene soffermarci su una doverosa precisazione. Il software si
propone come un'utilità estremamente potente per la rimozione delle minacce eventualmente
presenti sul personal computer in uso. L'impiego del programma dovrebbe essere limitato solamente
a quelle situazioni in cui la presenza di un malware sul sistema in uso è ormai conclamata.
Combofix, quindi, non dev'essere mai utilizzato come software per la scansione del sistema alla
ricerca di eventuali infezioni (per queste operazioni è consigliabile orientarsi su un programma
quale Malwarebytes' Anti-Malware, già presentato in questi nostri articoli).
Sui sistemi ove altri software antimalware non sono riusciti a sradicare completamente le infezioni,
tuttavia, Combofix sa comunque dare il meglio di sé.
Diversamente rispetto a quanto accadeva in passato, quando Combofix non era utilizzabile sulle
versioni di Windows più recenti (Windows Vista e Windows 7), l'utilità è adesso capace di
supportare qualunque sistema operativo Microsoft, da Windows XP in avanti. Nel caso di Windows
Vista e Windows 7, come garantisce lo stesso autore del programma, Combofix è compatibile sia
con le versioni a 32 che a 64 bit.
L'autore di Combofix, comunque, tende ad evidenziare più volte come l'utilizzo della sua
applicazione debba generalmente avvenire sotto la supervisione di un utente esperto. In ogni caso,
qualora si fosse intenzionati ad avviare l'utilità, accertata la presenza di malware sul proprio
sistema, si potrà comunque provvedere autonomamente tenendo presente che l'operazione viene
effettuata sotto la propria responsabilità.
Cosa fare prima di eseguire Combofix
L'applicazione, non appena avviata, provvederà in primis a creare un punto di ripristino del sistema.
Qualunque versione di Windows si stia usando, Combofix invocherà in background l'utilità
"Ripristino configurazione del sistema" integrata nel sistema operativo e richiederà la generazione
di punto di ripristino ossia di un'"istantanea" che permetterà di ripristinare la configurazione
dell'intero sistema allo stato attuale nel caso in cui dovessero presentarsi dei problemi.
Prima di ricorrere a Combofix è quindi sempre bene verificare di essere in grado di accedere
all'utilità "Ripristino configurazione del sistema", anche nella malaugurata ipotesi in cui il sistema
non dovesse avviarsi.
Come avviare il ripristino del sistema su Windows Vista e Windows 7
Prima di scaricare ed eseguire Combofix su un sistema Windows Vista e Windows 7 è invece bene
accertarsi di essere in grado di accedere allo strumento che permette il ripristino del sistema in caso
di problemi. Dopo aver riavviato il personal computer, durante la fase di boot, prima della comparsa

della schermata "Avvio di Windows", si dovrà ripetutamente premere il tasto F8. Apparirà un menù
simile al seguente:

La voce da utilizzare (pressione del tasto Invio) è la prima. Dopo alcuni istanti di attesa, si potranno
selezionare lingua e layout di tastiera preferiti quindi digitare la password associata all'account
dotato di diritti amministrativi:

La seconda voce (Ripristino configurazione del sistema) consentirà di riportare Windows ad uno
stato precedente:

Con un clic su Avanti, solo non appena si sarà eseguito Combofix, si dovrebbe vsiualizzare il punto
di ripristino Combofix created restore point:

Per visualizzare tutti i punti di ripristino disponibili, si può eventualmente spuntare la casella
Mostra ulteriori punti di ripristino.
Con un clic, ancora, sul pulsante Avanti si potranno annullare le modifiche operate da Combofix e

riportare il sistema ad uno stato precedente.
Disattivazione della protezione antivirus
La seconda operazione consiste nel disattivare temporaneamente la protezione in tempo reale
offerta dal software antivirus installato sul sistema. L'azione dell'antivirus in uso, infatti, può
interferire negativamente con il funzionamento di Combofix impedendo al programma di svolgere
una serie di controlli e di interventi di pulizia.
Qualunque sia il software antivirus utilizzato, solitamente è sufficiente arrestare la funzionalità di
protezione in tempo reale agendo sull'interfaccia del programma.

Nell'esempio in figura mostriamo la voce Realtime protection enable che permette di disabilitare e
riabilitare il modulo di Avira Free Antivirus incarico della scansione in tempo reale. La procedura è
comunque molto simile anche nel caso degli altri prodotti antivirus.
Se necessario, rinominare il file eseguibile di Combofix
Se il file eseguibile di Combofix non apparisse scaricabile o non volesse avviarsi, è possibile che
sul sistema sia presente un malware in grado di rilevare la presenza di questo strumento per la
rimozione delle minacce. Al momento del download dell'applicazione, quindi, suggeriamo di
salvarla su disco non con il nome predefinito - ovvero ComboFix.exe - ma con un'altra
denominazione (ad esempio abc123.exe o qualcosa di simile).
Qualunque sia la versione di Windows in uso, per avviare Combofix è sufficiente fare doppio sul
suo eseguibile. L'importante è che, in ogni caso, l'operazione venga effettuata da un account utente
dotato dei diritti di amministratore. Su Windows Vista e Windows 7 comparirà la classica finestra
di UAC attraverso la quale si dovrà accordare il permesso a Combofix di alterare la configurazione
del sistema:

Dopo aver fatto clic sul pulsante Sì, Combofix estrarrà tutti i file necessari per svolgere scansioni e
pulizia in una cartella di sistema creata nella directory radice dell'unità C:. A tale cartella viene
assegnato un nome casuale ed al suo interno vengono posizioni decine di file batch, script ed
eseguibili che consentono di attivare, l'una dopo l'altra, delle attività di disinfezione del sistema.
Il messaggio seguente ricorda di procedere alla disabilitazione della funzionalità di scansione in
tempo reale del software antivirus installato sul personal computer:

Diversamente rispetto alle precedenti versioni di Combofix, il programma entrerà subito in azione
disponendo dapprima la generazione di un punto di ripristino del sistema:

Dopo aver creato un nuovo punto di ripristino, Combofix effettua il backup del registro di sistema
appoggiandosi ad ERUNT (ved. questi articoli). Non è necessario che l'utility ERUNT sia presente
sul sistema dato che Combofix la integra nel suo pacchetto.
Svolte le operazioni di tipo precauzionale, Combofix disconnetterà il personal computer dalla rete
Internet. Nel caso in cui riceviate avvisi, da parte delle applicazioni installate, circa l'indisponibilità
della connessione, tenete presente che è un comportamento del tutto normale. Il software
modificherà anche le impostazioni dell'orologio di sistema che verranno comunque riportate allo
stato iniziale al termine della procedura.
Anche la temporanea scomparsa delle icone dal desktop è da considerarsi assolutamente regolare.
Durante la scansione, Combofix visualizzerà una serie di messaggi. I passi da completare ("stage")
sono più di una cinquantina: è indispensabile attendere pazientemente che il programma abbia
terminato tutte le attività.

E' bene ricordare di non cliccare mai sulla finestra di Combofix altrimenti è probabile che il
processo di scansione vada in blocco.
Qualora il firewall informasse circa la sostituzione di alcuni driver è indispensabile acconsentire
allo svolgimento di tale operazione.

Infine, è di fondamentale importanza attendere il completamento di tutte le attività di scansione e di
rimozione malware espletate da Combofix: sintanto che non apparirà il resoconto finale in formato
testuale non si dovrà né chiudere l'applicazione né riavviare forzosamente il sistema operativo. In
tali situazioni, infatti, potrebbero verosimilmente verificarsi malfunzionamenti o si potrebbero
presentare spiacevoli comportamenti.
Al termine della procedura, Combofix avrà eliminato tutti gli eventuali malware, presenti sul
sistema, di sua conoscenza.
Il resoconto proposto (memorizzato nella directory radice del disco C: con il nome
combofix.txt) contiene una serie di informazioni utili per rimuovere ulteriori infezioni che
Combofix non fosse riuscito a sradicare.
Nel report è facile riconoscere i file collegati a componenti malware che il programma è riuscito a
rimuovere oltre agli eventuali oggetti nascosti che, con buona probabilità, evidenziano la presenza
di rootkit.
Il file di log riassume anche la configurazione di molte aree del sistema operativo generalmente
attaccate dai malware. Se non si conosce il significato delle varie voci visualizzate è bene non
lanciarsi in interventi "alla cieca" che avrebbero come risultato solo quello di causare problemi al
funzionamento del sistema operativo.
Il log di Combofix, invece, offre un valido aiuto per confrontarsi con gli utenti più esperti (ad
esempio, nei forum e nei gruppi di discussione).
Suggeriamo di salvare il log C:\ComboFix.txt insieme con quello di Malwarebytes' AntiMalware in modo da averlo a portata di mano nel caso in cui un esperto dovesse richiederlo (per
maggiori informazioni è possibile fare riferiment al forum de IlSoftware.it sul quale, previa
iscrizione, è possibile inviare i propri quesiti).
Durante il suo funzionamento, Combofix crea sul disco fisso una cartella denominata Qoobox
all'interno della quale il programma provvede a memorizzare file di backup ed oggetti posti "in
quarantena" (generalmente file correlati all'azione dei malware rilevati sul sistema in uso).
Nel caso in cui si avesse la certezza assoluta di aver eliminato le varie minacce e che Windows sia
stabile e funzioni in modo regolare, è possibile richiedere la disinstallazione di Combofix. E'
necessario procedere con cautela dal momento che disinstallando il programma, verranno anche
rimossi tutti i backup ed i file eventualmente posti in quarantena.
Sia in Windows XP che in Windows Vista e Windows 7 per disinstallare Combofix si dovrà fare
clic sul pulsante Start quindi avviare il comando seguente (da digitare nella finestra Esegui su XP e
nella casella Cerca programmi e file su Vista e Windows 7):
combofix /uninstall

Al termine dell'operazione dovrà comparire il messaggio "ComboFix is uninstalled".
Attenzione al link utilizzato per scaricare Combofix!
Considerata la vasta popolarità di Combofix, in Rete sono spuntati molteplici siti web che offrono
versioni "fasulle" e quindi potenzialmente nocive dell'applicazione. Visitando tali pagine web si
rischia di effettuare il download di oggetti dannosi o comunque di inviare denaro nelle casse di
persone scorrette che si approfittano della popolarità di Combofix per interesse personale.
L'unica pagina web dalla quale è possibile scaricare Combofix è quella raggiungibile facendo clic
su questo collegamento oppure utilizzando la nostra scheda.

La versione più aggiornata di Combofix è prelevabile cliccando qui oppure visitando la pagina
web ufficiale. Suggeriamo di effettuare sempre il download di Combofix dal web dal momento che
il programma è oggetto di continui aggiornamenti ed ottimizzazioni.

Ad esclusivo beneficio dei più esperti, aggiungiamo che Combofix è in grado di eliminare file, informazioni dal
registro di sistema, servizi e driver su richiesta dell'utente. La procedura è estremamente delicata ed è bene che venga
posta in essere solamente dalle persone più smaliziate. Creando, nella stessa cartella in cui si è memorizzato l'eseguibile
di Combofix, un file di testo dal nome CFScript.txt ed inserendovi gli elementi da rimuovere, Combofix
provvederà ad eliminarli.
Se, esaminando il log di Combofix, ci si dovesse accorgere che il programma non ha cancellato file certamente collegati
all'azione di qualche malware, è sufficiente specificare espressamente nel file CFScript.txt il loro percorso ed il
loro nome.
Un esempio:
File::
C:\WINDOWS\system32\bgehcscv.dll
C:\WINDOWS\system32\mrsykxvd.dll
C:\WINDOWS\system32\ufbbwgav.dll
C:\WINDOWS\system32\rqRJAqPI.dll
C:\WINDOWS\system32\mlvhkmwa.dll
C:\WINDOWS\system32\vcschegb.ini
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{195B9C4D-7D07-46A7-9D5114E535A20EA1}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"50076d7b"=In questo caso, viene richiesta l'eliminazione di sei file nocivi (di cui cinque DLL), di un riferimento ad un BHO
maligno e di un valore nocivo inserito da qualche malware nella chiave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, generalmente
utilizzata anche da applicazioni benigne per avviarsi automaticamente.
Si noti la modalità con cui viene usato il carattere - ("meno"). Nel primo caso (BHO) viene richiesta la cancellazione di
un'intera chiave del registro di Windows mentre nel secondo solamente del valore specificato ("50076d7b" è, in
questo caso, il nome del valore).
Per fare in modo che Combofix provveda a cancellare gli elementi specificati, basta trascinare il file CFScript.txt
sull'eseguibile del programma.

Ribadiamo che questa procedura va messa in atto solo ed esclusivamente da parte degli utenti più esperti.
L'errata eliminazione di informazioni indispensabili per il corretto funzionamento del sistema operativo e/o delle
applicazioni installate può provocare spiacevoli problemi.