Generell diskusjon rundt Combofix' troverdighet

128 innlegg i emnet

Skrevet

Det har nå vært en del diskusjon rundt hvorvidt combofix er et program som bør bli brukt under support av malware:

http://itpro.no/supportforum/index.php?s=&...st&p=533473

http://itpro.no/supportforum/index.php?s=&...st&p=533415

Jeg synse det er dumt overfor trådstarter å måtte lese gjennom innlegg som mest sansynlig forvirrer mer enn det er til hjelp, derfor håper jeg at eventuelle diskusjoner om dette kan foregå i denne tråden, så er det kanskje håp om å komme til enighet til slutt :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vel, dere som kan å bruke det kan jo fortelle hvor stor suksess dere har hatt med det, og hvor mange ganger det har feilet.

Ut ifra det jeg har sett i trådene dere har operert på i forbindelse med combofix og de andre programmene, ser det ut til at dem aller aller fleste er fornøyd, i alle fall. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Vel, dere som kan å bruke det kan jo fortelle hvor stor suksess dere har hatt med det, og hvor mange ganger det har feilet.

Ut ifra det jeg har sett i trådene dere har operert på i forbindelse med combofix og de andre programmene, ser det ut til at dem aller aller fleste er fornøyd, i alle fall. :)

For kyndige folk som kan bruke både regedit og repair console, er det ikke farlig å bruke dette programmet....for ukyndige folk, såpass ukyndige at de ikke engang kan spore opp og slette ei fil manuelt, og såpass ukyndige at de MÅ henvende seg f.eks her i forumet for å få hjelp.....så er det et reint sjansespill å bruke combofix.

Å bruke det via online-support, som her, er det aller skumleste...krasjer maskinen til vedkommende, og han/hun bare har denne maskinen, har vedkommende null sjanse for å få rettet opp i galskapen før kyndig hjelp dukker fysisk opp hos problemet.

Det er faktisk så risikabelt at man har omtrent 50/50 sjanse for at maskinen starter opp igjen etter en re-boot eller ikke.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hva mener du man heller bør gjøre da, papsn?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hva mener du man heller bør gjøre da, papsn?

Veit da faen, men å ukritisk oppfordre til å bruke combofix....blir litt som å spille russisk rulett.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Så man skal la PCen være infisert og sjekke nettbanken og andre "sikre" netttjenester med evt en (eller flere) keylogger på PCen da?

Da er det bedre at Windows feiler, og man blir nødt til å ta en reinstallasjon av operativsystemet.

Har du ingen god argumentasjon mot at man skal bruke Combofix, bør du heller ikke fraråde det. I så måte bør du komme med en like god løsning som er "mindre farlig" for uerfarne PCbrukere.

Det er bedre å prøve å få bukt på problemet, enn å la det være.

Endret av KongKlykken
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

KonKlykken:

Min argumentasjon mot combofix er at den hærper registeret, noe annet argument er ikke nødvendig.

Og nei, man skal selvsagt prøve å rense maskinen...om så manuelt. Det finnes metoder som er mer tungvinte enn combofix, men også det krever litt "skills"

I den aktuelle saken vi nettopp har sett her i forumet, finnes det en helt ok remooval til den aktuelle infeksjon....den ble ikke brukt.

Og det er ikke greit å komme med løsninger når man ikke vet hva vedkommende holder på med i øyeblikket, eller har gjort....det er ofte veldig få opplysninger å hente for dem som hjelper her....og å forfekte utallige løsninger midt oppi alt det andre, kan ofte være like ille som å ikke gjøre noe i det hele tatt.

anyways...jeg kommer for all fremtid til å fraråde å bruke kombofix til ukyndige onlinebrukere.

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

papsn@

har du døme på onlie hjelp der det kan bevisast at Combofix har øydelagd pc-en til brukaren?

Personleg har eg sett andre hjelpe og sjølve hjelpt så mange andre ved hjelp av Combofix at eg trur du anten har vore særs uheldeg eller overdriver veldig. Har du døme gjer det lettare å tru deg. Eg kan lett finne mange eksempel der m.a. Combofix har vore med på å reinske pc-ar.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Min argumentasjon mot combofix er at den hærper registeret, noe annet argument er ikke nødvendig.

Og nei, man skal selvsagt prøve å rense maskinen...om så manuelt. Det finnes metoder som er mer tungvinte enn combofix, men også det krever litt "skills"

Når brukeren ikke har kunnskap nok til å "lete frem en fil som skal slettes" vil iallefall det å tukle med registeret manuellt lage krøll. Eller, om han virkelig har skills burde han klare å reparere registeret etter at combofix har rassert det, som du sier.

anyways...jeg kommer for all fremtid til å fraråde å bruke kombofix til ukyndige onlinebrukere.

Jeg ville heller ha frarådet uerfarne brukere i å tukle i registeret. Samtidig ville jeg ha frarådet folk i å blande seg inn i tråder som allerede har startet veiledningen som ligger ute på forumet. Rot i en tråd kan like gjerne være årsaken til elendigheten som skjer.

Endret av KongKlykken
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Det er et voldsomt kraftig verktøy, og hadde vært utmerket dersom det ryddet etter seg...men det må nok brukeren gjøre selv, manuelt....

Har vel ca 2000 tråder der jeg har spørt om bruk av combofix på hw.no.

Det og gi support på denne måten krever at du er med til problemet er løst og combofix fjernes,så filer i karatene og systemgjennoppreting resettes.

Det er ikke noe som heter at en ikke har tid eller ikke svarer bruker som har postet en combofix-logg nå du har spørt om det,det hender vi ovelapper hverandre.

Norbat som startet dette på hw.no sitter inne med enorm kunnskap på dette feltet,han har vel sikkert over 6000 tråder på hw.no og ca 1000 her på itpro der han spørt om bruk av combofix.

Formatering er etter bruk av combofix er ikke et teama for det skjer ikke,brukere som foramterer har andre systemproblemer som dem ikke orker og feilsøke på.

Moderator papsn sier at combofix ødlegger systemet,jeg er selvfølgelig totalt uenig med han.

Jeg hadde sluttet med dette dagen hadde jeg ødelagd system for brukere som spør om hjelp.

Jeg får tilbakemeldinger så jeg vet at at brukere som har fått hjelp er fornøyde.

Det er faktisk så risikabelt at man har omtrent 50/50 sjanse for at maskinen starter opp igjen etter en re-boot eller ikke

Det du sier her er totalt sprøyt :nope:

Sorry jeg blir irritert over de utalser du kommer med,det skjer omtrent aldrig at system ikke booter opp etter bruk av combofix.

Da order vi opp så systemet booter,så enkelt er det.

Jeg synes itpro bør rydde opp i dette,

Står itpro inne for denne guiden 100% Felles guide for fjerning av malware??

Da er det vel et problem at en moderator sier at combofix ødelegger system i hver post der vi spør om at combofix skal brukes?

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

[...]

Jeg ville heller ha frarådet uerfarne brukere i å tukle i registeret. Samtidig ville jeg ha frarådet folk i å blande seg inn i tråder som allerede har startet veiledningen som ligger ute på forumet. Rot i en tråd kan like gjerne være årsaken til elendigheten som skjer.

heilt enig. Syns det er viktig at me følger den guiden som ligg for fjerning av malware. Noko anna ville jo berre skape forvirirng. Klart eg skjønner at du (Papsn) kan vera ueinig i framgangsmåten, men dette er jo eit diskusjonsforum der me kan diskutera slike ting og (forhåpentligvis) kome til semje.

veldig bra svar snippsat :thumbs:

Endret av tosha0007
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

@ Papsn:

kom med bevis der combofix har ødelagt dataer takk.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

papsn@

har du døme på onlie hjelp der det kan bevisast at Combofix har øydelagd pc-en til brukaren?

Personleg har eg sett andre hjelpe og sjølve hjelpt så mange andre ved hjelp av Combofix at eg trur du anten har vore særs uheldeg eller overdriver veldig. Har du døme gjer det lettare å tru deg. Eg kan lett finne mange eksempel der m.a. Combofix har vore med på å reinske pc-ar.

Jeg har da aldri sagt at den IKKE renser maskinen, jeg har derimot sagt at den renser den FOR GODT...det blir noe helt annet.

Vet ikke om jeg gidder å leite frem "bevis" for deg om ødelagte maskiner i andre forum, slikt kan du da gjøre selv....men jeg skal linke til andre som fraråder å bruke det ukritisk.

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

http://freewarewiki.com/ComboFix

http://remove-malware.com/anti-malware-rev...latest-version/

http://www.tech-faq.com/combofix.shtml

....tror ikke vi trenger flere, men de er der ute i hopetall.

;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

etter å ha skumlest gjennom lenkene Papsn la ut tidlegare finn eg berre informasjon som seier at Combofix er farleg dersom ein ikkje har nokon som har kunnskap om programmet til å hjelpe seg. Ved kyndig veiledning er dette eit program som kan fjerne malware

Sjølvsagt kan det vera greit å vera skeptisk, det har eg ikkje noko problem med. Men eg føler ikkje dei sidene kan underbyggje det du seier om at Combofix verkeleg øydeleggjer pc-en. Desse lenkjene berre underbyggjer det fleire seier at ein treng kyndig veiledning for å bruke Combofix. Med personar som norbat og snippsat (som eg personleg meiner har gode erfaringar ved bruk av Combofix) trur (og håper) eg dei som vel å poste loggane sine får god nok hjelp.

Endret av tosha0007
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

etter å ha skumlest gjennom lenkene Papsn la ut tidlegare finn eg berre informasjon som seier at Combofix er farleg dersom ein ikkje har nokon som har kunnskap om programmet til å hjelpe seg. Ved kyndig veiledning er dette eit program som kan fjerne malware

Jepp, hvilket jeg har forfektet hele tiden.....og jeg har nå fylt ut veiledningen til r2d290, med råd om å kjøre systemfilscann etter hver bruk av combofix, hvilket burde vært gjort fra første stund.

;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Så lenge det kjøres systemfilscann ( sfc /scannow ) etter bruk av combofix, og FØR en eventuell re-start, kan dette brukes....ved ukyndig og ukritisk bruk, VIL ethvert windossystem bli skadet ved bruk av dette programmet, og man risikerer en fullstendig systemkrasj hvor man ikke får bootet maskinen opp i sikkermodus engang.

Synes det blir mer ryddig om jeg selv intigrerer eventuelle nye ting til veiledningen. Lite trolig at en person som trenger hjelp, kommer til å sjekke sisteposten før det evt. blir for sent.

Men som du kanskje fikk med deg, ble veiledningen laget ved at det først var en lengre diskusjon rundt hvilke programmer og hvilken informasjon som bør være med, så jeg kommer til å vente med å gjøre det til flere har sagt seg enig med deg.

Som snippsat sa er det ment å være ITpro's felles malware-guide, og da mener jeg det er greit at det som står der er noe alle har kommet frem til i plenum (hvis ikke, ender det bare med at folk som er uenig i innholdet i veiledningen slutter å linke til den, men heller oppgir sin egen "veiledning" til hver enkel situasjon.

Når det gjelder det du skriver der: første setningen tror jeg ikke gir noen mening. Bør vurderes å skrives om?

Det andre, ang. å advare om at det KAN være en risiko ved å kjøre combofix, samt litt info om hvordan combofix fungerer og hvorfor det brukes, skal jeg prøve å få lagt til snarest.

For øvrig fint å se at dette engasjerer så mange. Åpen diskusjon er eneste løsning på felles enighet mener nå jeg. Så da satser jeg på at vi klarer å oppnå det snippsat sier om å få en felles malwareguide som ingen har noe imot :)

edit: altså ønsker jeg en kommentar på hva andre mener om tilførselen til papsn, før jeg evt. endrer veiledningen...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Om det er nødvendig vet vel dere som kan å bruke programmet. Om dere opplever (eller har opplevd) at operativsystemet ikke fungerer etter en runde med combofix, bør det vel komme frem i veiledningen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ang. post #13, der du linker til sider som fraråder å bruke det ukritisk:

Vi er fullstendig klar over risikoen ved å bruke combofix feil, med andre ord bruker vi ikke programmet ukritisk. Og det er en grunn for at vi (som du også er enig i) i de fleste tilfeller bruker et automatisk program før vi går i gang med combofix...

Om det er nødvendig vet vel dere som kan å bruke programmet. Om dere opplever (eller har opplevd) at operativsystemet ikke fungerer etter en runde med combofix, bør det vel komme frem i veiledningen.

Ja, derfor jeg kaster ballen videre til snippsat (og norbat hvis han kommer til i denne samtalen). Er de to som er de erfarne her. Jeg er fortsatt ikke ferdig utviklet i dette (derfor spør jeg ofte n og s om råd før jeg lager script med combofix).

Men jeg har vel kanskje sett det en eller to ganger siden januar 2008, både fra hw.no og itpro.no, at slike problemer har oppstått, og da var det et ganske ekstremt tilfelle...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Så lenge det kjøres systemfilscann ( sfc /scannow ) etter bruk av combofix, og FØR en eventuell re-start, kan dette brukes....ved ukyndig og ukritisk bruk, VIL ethvert windossystem bli skadet ved bruk av dette programmet, og man risikerer en fullstendig systemkrasj hvor man ikke får bootet maskinen opp i sikkermodus engang.

(sfc /scannow) skal ikke kjøres hverken før eller etter combofix uten at vi ber om det.

Hvorfor?

Fordi (sfc /scannow) kan skrive over systemfiler som er innfisert og vil da ikke bli fanget opp av combofix.

Da kan info som er viktig for og få fjernet malware riktig bli borte.

Derfor skal dette ikke være med i guiden.

Vanlig høflighet er vel og spørre den som har lagd guiden om tillegge info.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Combofix, på lik linje med f.eks. MBAM, SAS (for å nevnte to andre favoritter), fjerner en hel bråte med malwarefiler.

MBAM og SAS fjerner i tillegg langt flere registeroppføringer og derfor brukes MBAM el. SAS normalt før combofix i de fleste tilfeller. En annen grunn til dette er at det er bedre å få renset ut mest mulig rammel før combofix-loggen kommer. Rensingen går raskere fordi det blir mindre manuelt arbeid.

Det som gjør Combofix til et 'kraftig' verktøy, er IKKE hva det gjør under skanning, men hva som er mulig å gjøre ETTER at man har fått presentert en logg.

Som supporter kan du fjerne det du ønsker eller gjøre andre ting som man f.eks. kan gjøre via gjenopprettingskonsollen. Hvordan dette gjøres, er ikke så veldig lett tilgjengelig, rett og slett for å forhindre at hvermansen bruker verktøyet uhemmet.

Det som gjør combofix kraftig er altså ikke programmet i seg selv, men supporteren. Vedkommende som har laget programmet påpeker at man IKKE skal bruke Combofix uten at noen som KAN programmet, veileder. Det er et godt råd.

Under kjøring av combofix, vil brukeren bli anbefalt å installere gjenopprettingskonsollen. Dette bør brukeren gjøre om vedkommende ikke har xp-cd'n tilgjengelig.

Hvorfor, vel om pc'n får oppstartsproblemer etter rensing, så har man mulighet til å benytte combofix sin backup. I mine tråder her eller i andre supportsituasjoner, så har dette ennå ikke vært behøvelig. Får man mot normalt problemer med sin pc etter en combofix-skann, så har man vanligvis en pc tilgjengelig, enten hjemme, hos en kompis eller andre plasser.

Dette forteller meg at å bruke combofix er like trygt som å bruke all annen av-prog. Har selv vært borti at f.eks. Ad-Aware har gjort pc'n ubrukelig etter en infeksjon,men å advare mot Ad-Aware har ingen hensikt. Programmet er greit nok.

Man har dessverre ingen garantier når man supporterer malwarefjerning. Systemet kan være så korrupt at eneste løsning er reinstallering. I de 1000-talls trådene jeg har tittet innom, så har dette heldigvis vært et ikke-problem.

I 'fjernsupport' er det nettopp nødvendig å få ett sett med logger som kan fortelle hvordan tilstanden er. Å bare basere seg på onlineskannere og annen

anti-prog. forteller bare hva som er funnet og man har lite grunnlag for å si at pc'n er 'virusfri'. Om man synes det er god nok support, får bli opp til den enkelte.

Jeg (og andre) jobber på en annen måte - der combofix er det viktigste verktøyet og der man kan si at brukeren kan begynne å bruke nettjenester etc. igjen ut fra hva loggen viser.

Håper forumbrukeren selv kan sjekke de trådene der combofix blir brukt, og ut fra det vurdere om programmet er verdt å bruke. Mitt råd er, ja. Ønsker du effektiv og god support, bruk Combofix hvis supporteren ber om det. ITpro har flere supportere som kan veilede ang. combofix. Til dere andre med malwareproblemer er det bare å la være. Bruk noe du mener kan løse poblemet. Fungerer det ikke, så er vi alltid beredt :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Programmet er greit NOK.

Før jeg begynte å anbefale Combofix-løsninger for andre (i januar 2008) testet jeg det på egen (malwarefri) maskin. Loggen ble kopiert inn i Word - delt inn logisk i de enkelte deler - analysert for hva programmet foretar seg (nær 2 timers analyse).

Jeg klarte ikke å bryte loggen ned i samtlige 42 trinn som programmet utfører, men det ble ca. 15-20 deler. 12 av disse ble nøye analysert og identifisert, og godkjent som "kurante tiltak". Jeg bruker lignende metoder i manuell malwarefjerning, men manuelle metoder er ofte for kompliserte å foreslå på et forum. Mange av metodene er "kjent stoff" for programmerere som "naturlig del" av en effektiv fjerning av malware.

Etterfølgende problem med Combofix etter test ble rapportert her på forumet i egen tråd. Combofix må avinstalleres etter bruk, siden deler av programmet "trigger" enkelte antispyware-programmer (Spyware Doctor). Opplysninger om at programmet må avinstalleres manglet i guiden jeg fulgte i januar 2008, men har vært inkludert i alle guider her på forumet etter den datoen.

Den delen som trigger Spyware Doctor heter NIRCMD. Programmet er fra nirsoft.net. Nettstedet ble sjekket opp med McAfee Siteadvisor og har svært godt rykte blant brukere, men mange av programmene regnes som spyware av McAfee (kanskje også av noen andre). Dette dreier seg om passordcrackere som kan lastes ned fritt fra nettstedet, dvs.at de kan brukes både på lovlig måte og som del av spyware.

Som del av sjekken testet jeg NIRCMD mot AdAware og Norton Antivirus som begge "frikjente" programmet. Jeg lastet ned et par andre programmer fra NIRSOFT.NET og testet disse, og disse ble også frikjent.

Her er kopi fra analyse av Combofix i januar:

Kopiert fra "Analyse av Combofix.doc" (klikk for å vise/skjule)

Analyse av Combofix:

Bruk:

Du starter det på normal måte ved å klikke på ikonet. Hvis programmet startes fra filbehandler bør du lukke filbehandler-vindu før du lukke vinduet før ComboFix starter å skanne.

Skanning starter med å taste 1 (enter).

Trykk 2 (enter) hvis du ønsker å avbryte.

Starter i et cmd-vindu. Lukk andre vinduer og programmer under en scan. Unngå å klikke på ComboFix-vinduet mens det jobber.

Programmet lister opp fremdrift mens det foretar skanning:

Stage1 – Finished

Stage2 – Finished

Stage3 – …

- osv. (inntil 40-50 stages)

Totalt rundt 40-50 stages, fordi enkelte av disse hadde underpunkter. Litt dårlig på å informere om hva det faktisk gjorde i de enkelte trinn, men fremdriften var OK.

Avslutter med å lage en logg. Denne åpnes automatisk når programmet slutter (i Notisbok). Husk å lagre loggen til et ”normalt” filnavn i en normal mappe hvis du skal bruke slike logg-filer for å sammenligne med andre.

Loggen lagres som C:\combofix.log av programmet – men du kan velge ”Lagre som …” løsningen i Notisbok hvis loggen skal brukes i sammenligning med andre..

Detaljer fra logg:

(((((((((( Files Created from 2007-12-21 to 2008-01-21 )))))))))

Gir deg oversikt over de nyeste program-filene og –mappene.

(((((((((((( Find3M Report )))))))))))))

Her kunne de godt gitt litt mer fornuftig navn, eller fortalt litt mer rett frem hva dette er. Det er en liste over mapper og filer – og inneholder detaljer som viser om det dreier seg om skjulte filer eller mapper.

Jeg ville kunne klart å plukke ut mistenkelige filer og mapper ut fra denne, men det er også sjanse for å plukke ut legitime mapper eller filer.

(((((((((((((( Reg Loading Points )))))))))))

Detaljer fra registeret:

Dette er delt inn i flere segmenter uten at det går klart og tydelig frem (bortsett fra et linjeskift mellom hvert segment). Detaljer er droppet eller fjernet her for å gi bedre oversikt – det er kun de enkelte grupper som er igjen i denne analysen.

Jeg delte det opp punktvis med tall for å gjøre det mer oversiktlig

1. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

3. [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

4. C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

5. R2 lxdc_device; (detaljer fjernet)

6. S3 NPF;NetGroup Packet Filter Driver; (detaljer fjernet)

7. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer

\mountpoints2\{a61f35a0-b4d1-11dc-bc91-001302dcf3d6}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

8. [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer

\mountpoints2\{a61f35a1-b4d1-11dc-bc91-001302dcf3d6}]

\Shell\AutoRun\command - G:\setupSNK.exe

9. *Newly Created Service* - PROCEXP90

.

10. Contents of the 'Scheduled Tasks' folder

"2008-01-17 13:27:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Programfiler\Apple Software Update\SoftwareUpdate.exe

Rootkit revealer:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-21 21:15:38

Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:

ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

LXDCCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Jeg lot dette få være med. Det dreier seg om Lexmark printer hvor jeg har fjernet deler av programmet – en toolbar til Internet Explorer som fikk internet til å gå tregere.

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

Dette kan være en mate å kamuflere malware. DLL vil ikke vises som et program, men det er likevel kjørbar kode med de samme funksjoner som et program.

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]

-> C:\Programfiler\ArcSoft\PhotoImpression 5\share\pihook.dll

.

Completion time: 2008-01-21 21:16:19

.

2008-01-09 19:27:30 --- E O F ---

Vurdering av program:

En relativt kurant metode for å avsløre skadelige programmer. Det er en fordel at programmet ikke lister opp legitime prosesser og programmer, noe som ofte fører til at man overser noe man burde se.

Dette er et forhold jeg reagerte på med HijackThis – de skadelige programmene ble FOR godt skjult blant alle de lovlige. De fremstår riktignok mer tydelig når loggen analyseres hos hijackthis.de, men det hadde vært OK å kunne oppdage mistenkelige ting i en vanlig editor også.

Jeg har kun testet programmet på en maskin som er fri for spyware og virus – 2 ganger med 3 måneders mellomrom. Den siste gangen hadde jeg 1 sak som må undersøkes nærmere, men dette er en KJENT del av et program. Dette er for tynt grunnlag til å kunne uttale seg om dette er en effektiv løsning, og jeg har heller ikke fått testet alle funksjoner programmet har.

Jeg kan imidlertid vurdere programmets metoder i hovedtrekk:

Det gir deg oversikt over de nyeste programfilene – fra 1 måned tilbake i tid.

Godkjent – du kan avsløre mye på dette punktet.

Det krever noe innsikt i å skille rett fra galt, men selve metoden er godkjent.

Detaljer som ikke er vesentlige på dette punkt skjules, programmet lister mapper som er opprettet uten å ramse opp alle filene som finnes der. Svært bra.

Jeg hopper over resten av analysen nå for å unngå å bli for detaljert, og tar analysen kun i hovedsak:

Nye programmer og programfiler fra siste måned.

Find3M Report er litt diffus – men den kan avsløre skjulte filer og mapper (vanlig teknikk)

Registry-delen finner filer som

starter automatisk under oppstart

dras i gang av andre programmer

dras i gang via oppstart-mappe

dras i gang som en service

dras i gang som en DLL under et annet program

dras i gang via Autorun

dras i gang som en planlagt oppgave

Rootkit revealer er rettet mot skjulte prosesser.

Her ble det faktisk funnet noe hos meg, men dette er en fil jeg har sjekket opp tidligere og som jeg kjenner opphavet til. Jeg bør kanskje sjekke filen på nytt.

Nærmere detaljer:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LXDCCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll" [2007-01-22 23:05 102400]

R2 lxdc_device;lxdc_device;C:\WINDOWS\system32\lxdccoms.exe [2007-02-13 00:56]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

LXDCCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

En bedømmelse av program:

Godt egnede metoder.

Dårlig til å formidle hva det gjør.

Ikke rettet mot et normalt publikum eller brukere.

Krever opplæring for å ha full nytte avprogrammet.

En bruker med GOD innsikt kan ha stor nytte av programmet uten opplæring.

Jeg har gjort langt mer grundig arbeid enn kritikerne her før jeg godkjente programmet og begynte å anbefale det til andre.

I ettertid har jeg fått vite at programmet feiler i 1 av 100 tilfeller, men der kjenner jeg ikke detaljer.

Jeg anbefaler den kombinerte løsningen vi har her på forumet i de fleste saker, det eneste unntaket har vært et tilfelle med SCRIPT-"malware" hvor ingen programmer er særlig egnet (manuell opprydding er eneste løsning).

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg mener at de med erfaring ved bruk av disse programmene er dem som vet best, og om det hadde vært en veldig risikabel metode for fjerning av uønsket programvare, ville det nok ikke ha blitt anbefalt og ei heller blitt brukt av så mange. Som alt annet er heller ikke combofix feilfritt, men som det kommer frem er det en sjelden gang det feiler.

Jeg for min del legger meg ikke borti metodene som brukes av våre malware-eksperter, da jeg regner med dem vet hva dem gjør. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

"Jeg for min del legger meg ikke borti metodene som brukes av våre malware-eksperter, da jeg regner med dem vet hva dem gjør."

Om flere hadde hatt den holdningen, så ville det ikke ha vært så mye støy - i enkelte tråder.

At noen påstår at combofix er det samme som å få ødelagt pc'n, får være deres påstand. Om jeg selv hadde erfart at Combofix hadde vært et risikoprogram slik noen påstår, hadde jeg vært den første til å ekskludert programmet fra supporten min.

Morten58: <<<Find3M>>>-feltet er knyttet til 'Finn filer opprettet siste 3 måneder' (den lister ikke opp alt, men ut fra en gitt regel)

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Morten58: <<<Find3M>>>-feltet er knyttet til 'Finn filer opprettet siste 3 måneder' (den lister ikke opp alt, men ut fra en gitt regel)

Ikke at det over hode har noe med saken å gjøre, men er det ikke strengt tatt filer som er endret de siste 3 månedene? mens "Files created from" er filer som er opprettet?

vel, nå skal vi vel ikke egentlig skrive for mye om hvordan cf fungerer i offentlige forum, men...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ikke at det over hode har noe med saken å gjøre, men er det ikke strengt tatt filer som er endret de siste 3 månedene? mens "Files created from" er filer som er opprettet?

vel, nå skal vi vel ikke egentlig skrive for mye om hvordan cf fungerer i offentlige forum, men...

Ja, det er nok er mer riktig ord :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive