Czysty system

Aplikacja ComboFix sama w sobie nie zawiera szkodliwych elementów (trojanów czy wirusów), jednak użyta niewłaściwie może doprowadzić do nieprawidłowego (niestabilnego) działania systemu, a nawet jego uszkodzenia. Dlatego poniższe wskazówki należy wykonywać dokładnie tak, jak są przedstawione. Podczas działania programu nie należy podejmować żadnych akcji (nie używać innych programów, nie klikać myszką, nie wciskać klawiszy) i nie panikować, że program zmienia ustawienia czy odłącza komputer od sieci. Pamiętaj także, że samodzielna interpretacja raportów generowanych przez ComboFix i tworzenie w notatniku poleceń dla programu także nie jest dobrym pomysłem, chyba że masz dużą wiedzę na temat systemu, którego używasz. Inną kwestią, o której trzeba wspomnieć, są alarmy generowane przez antywirusy w zetknięciu z programem ComboFix. Nie należy się nimi przejmować i przed użyciem aplikacji wyłączyć zainstalowany antywirus. Najlepiej to zrobić już przed rozpoczęciem pobierania pliku ComboFix, ponieważ może się zdarzyć, że antywirus czy inny strażnik usunie część plików składowych narzędzia. Wtedy aplikacja może się nie uruchamiać.

Coraz częściej, gdy nie możemy sobie poradzić ze szczególnie złośliwym oprogramowaniem, zwracamy się z prośbą o pomoc na różnego rodzaju forach dyskusyjnych. Doświadczeni użytkownicy proszą o pokazanie logów z programów, takich jak DSFix lub ComboFix. Co to za aplikacje i jak z nich korzystać? W artykule pokażemy, skąd pobrać takie narzędzia, jak zainstalować i uruchomić na swoim komputerze. W przykładzie wykorzystamy wspomniany program ComboFix. Aplikacja skanuje peceta w poszukiwaniu szkodliwych plików i automatycznie podejmuje akcje w celu ich usunięcia (niestety program nie zawsze potrafi unieszkodliwić samodzielnie każdy rodzaj zagrożenia).

Dlatego dodatkową zaletą aplikacji (z której będą mogli skorzystać raczej zaawansowani użytkownicy komputera) jest tworzenie pliku tekstowego z dużą liczbą informacji, które mogą wskazywać podejrzane elementy lub niebezpieczeństwa. Właśnie ten tak zwany log może być później wykorzystany przez osobę, która zna działanie programu i ma znaczącą wiedzę na temat systemu operacyjnego Windows. Na podstawie analizowania zawartych w logu informacji można stworzyć plik tekstowy, który podpowie programowi ComboFix, jakie po uruchomieniu się ma przeprowadzić czynności i które pliki, wpisy w rejestrze, usługi, czy też całe foldery ma usunąć.

Pamiętaj, że poniższe wskazówki mogą pomóc w najtrudniejszych sytuacjach. Jednak w celu skorzystania z utworzonego przez program ComboFix raportu trzeba wiedzieć, jak opracować skrypt. Osoba, która tego zrobić nie potrafi, może, działając na własną rękę, uszkodzić system i utracić zapisane w nim dane.

Program ComboFix musisz pobrać z sieci. Pamiętaj, żeby korzystać tylko z adresu, który podajemy. Nie wyszukuj aplikacji w Google. Pobierz ją tylko i wyłącznie z tego miejsca, które wskazujemy. Istotne jest także, aby po użyciu programu po prostu go odinstalować. Jeżeli będziesz potrzebował użyć go powtórnie, pobierz aplikację jeszcze raz. Co prawda jest możliwa jej aktualizacja, ale lepiej się stosować do naszej wskazówki.

W tym kroku czeka cię także instalacja Konsoli odzyskiwania. Pozwoli ona uruchomić komputer z programu ComboFix i w razie problemów przywrócić rejestr. Z aplikacji ComboFix można zainstalować konsolę dla systemu Windows XP.

Otwórz stronę internetową www.forospyware.com/sUBs/ComboFix.exe lub http://subs.geekstogo.com/ComboFix.exe – nie pobieraj programu z innych lokalizacji. Oba adresy prowadzą wprost do pliku instalacyjnego ComboFix. Zapisz aplikację na dysku, koniecznie na pulpicie. W tym celu wybierz odpowiednią lokalizację w wywołanym oknie dialogowym. Następnie odszukaj i kliknij ikonę ComboFix.exe.

Rozpoczyna się instalacja programu ComboFix. Po chwili zobaczysz okno ZRZECZENIE SIĘ GWARANCJI NA OPROGRAMOWANIE – rodzaj licencji mówiącej, że autor nie bierze odpowiedzialności za program. Upewnij się, że wszystkie okna i zbędne programy są wyłączone. Kliknij Tak.

Na pulpicie pojawi się niebieski ekran. Aplikacja po chwili wykryje brak Konsoli odzyskiwania i zaproponuje jej zainstalowanie (komputer musi być podłączony do internetu). Bezwzględnie wyraź zgodę, kliknij Tak.

ComboFix sam zweryfikuje twoją wersję Service Packa i rozpocznie pobieranie Konsoli odzyskiwania ze strony Microsoftu. Może to potrwać dłuższą chwilę, zależnie od szybkości połączenia z internetem. Nie podejmuj żadnych działań i poczekaj do momentu pojawienia się okna Instalowanie Konsoli Odzyskiwania. Kliknij przycisk OK, a w następnym oknie Tak.

Rozpocznie się instalacja Konsoli odzyskiwania. Proces ten przebiega w tle. Znowu nie podejmuj żadnych akcji aż do pojawienia się okna, za którego pomocą zostaniesz poinformowany o pomyślnym przebiegu instalacji. Upewnij się jeszcze raz, że wszystkie inne okna są zamknięte, a programy nie są uruchomione. Kliknij Tak i przejdź do następnej wskazówki. Nadal nie podejmuj w międzyczasie żadnych akcji.

Mimo że cała operacja przebiega spójnie i program przechodzi płynnie do skanowania systemu, jest to osobne działanie. Obie operacje są teraz połączone, ponieważ jest to pierwsze uruchomienie ComboFix na twoim komputerze. W przypadku uruchomienia skryptu (patrz warsztat „Interpretowanie logów i uruchomienie skryptu”) ComboFix rozpocznie start od tego momentu.

Po zainstalowaniu Konsoli odzyskiwania pojawi się na pulpicie niebieski ekran z informacją o rozpoczęciu skanowania. Ponownie zwracamy uwagę, abyś nie podejmował żadnych akcji. W oknie jest także informacja o zmianie zegara. Później zostanie przywrócone jego prawidłowe działanie. Twój komputer zostanie także odłączony od internetu, połączenie zostanie przywrócone samoczynnie (później). Jeżeli napotkasz na problemy, skorzystaj z ramki „Ręczne przywracanie połączenia”.

Skanowanie jest podzielone na kilkadziesiąt etapów, które następują automatycznie jeden po drugim. W tej chwili zniknie także twój pulpit. Po całej operacji wszystko powinno być znowu na swoim miejscu.

Teraz pozostaje ci uzbroić się w cierpliwość i poczekać, aż ComboFix zakończy skanowanie. Nie ruszaj myszy ani klawiatury, spokojnie poczekaj. Na ekranie zobaczysz informację o przygotowywaniu logu. Stworzony przez program plik tekstowy znajdziesz na dysku C:/. Otwórz dokument.

Na ekranie zobaczysz okno Notatnika, a w nim zawartość loga stworzonego przez program ComboFix. Na jego podstawie (jeżeli będzie to potrzebne) można stworzyć polecenia (skrypty) usunięcia szkodliwych plików. Skrypty będą zawierały komendy skasowania plików, folderów lub wpisów w rejestrze. Oczywiście ComboFix mógł to zrobić automatycznie i problem może nie istnieć. Jednak teraz jesteś gotowy do pokazania zawartości pliku tekstowego na forum.

Oczywiście podczas każdego uruchomienia program ComboFix będzie tworzył nowy log z kolejnym numerem, np. ComboFix1.txt. Po zakończeniu skanowania aplikacja sama przywróci ustawienia zegara i połączenie z internetem. Gdyby wystąpił jakikolwiek problem z siecią, możesz skorzystać z pomocniczych wskazówek zawartych w ramce „Ręczne przywracanie połączenia”.

Program ComboFix podczas skanowania odłącza komputer od internetu. Jest to celowy zabieg i nie należy się nim przejmować. Po zakończeniu czynności program powinien automatycznie przywrócić połączenie. Jednak gdy zaobserwujesz, że jest inaczej, wystarczy zazwyczaj ponowne uruchomienie komputera. Problem powinien zniknąć. Jeżeli nie chcesz restartować peceta, spróbuj załatwić sprawę ręcznie.

W zasobniku systemowym (obok zegara) znajduje się ikona połączenia. Kliknij tę ikonę prawym przyciskiem myszy i z wyświetlonego menu wybierz polecenie Napraw. Poczekaj cierpliwie, aż system przeprowadzi procedurę naprawczą.

Jeżeli nie widzisz w swoim zasobniku ikony połączenia, kliknij przycisk Start, a potem Panel sterowania. Następnie wybierz Połączenia sieciowe. Zobaczysz listę połączeń. Odszukaj to połączenie, z którego korzystasz. Kliknij jego nazwę prawym przyciskiem myszy i wybierz Napraw.

Mimo że aktualna wersja ComboFix potrafi usunąć automatycznie wiele zagrożeń, to jednak generowany przez nią log ma za zadanie wyjaśnić użytkownikowi, czy w systemie nie ma żadnych problemów. Jeżeli istnieją jeszcze jakieś szkodliwe pliki, można zrobić skrypt, który wskaże ComboFix pliki, foldery, usługi czy wpisy do usunięcia. Dzięki temu jest możliwe wyeliminowanie wszystkich podejrzanych składników.

Jeżeli nie masz odpowiedniej wiedzy o działaniu programu oraz o składnikach systemu Windows, odradzamy ci tworzenie jakichkolwiek skryptów. Wygenerowany log pokaż doświadczonej osobie na odpowiednim forum. Możesz skorzystać z adresów www.bleepingcomputer.com/forums/forum22.html, www.techsupportforum.com (są anglojęzyczne) lub szukać pomocy na forum PC Formatu http://forum.pcformat.pl. Tutaj także znajdziesz użytkowników, którzy będą potrafili ci pomóc. Pamiętaj, że skrypty tworzone przez osoby pomagające na forach są opracowywane pod kątem określonej sytuacji. Nie korzystaj ze skryptów tworzonych nie dla ciebie.

Nie zapominaj jednak, że na każdym forum obowiązują ogólne zasady zamieszczania logów z programów typu ComboFix. Najpierw się z nimi zapoznaj, a następnie proś o pomoc. Przypominamy, że jeżeli nie znasz większości usług systemowych, plików czy wpisów, nie zabieraj się do tworzenia skryptu. W ComboFix interpretacja polega często na analizowaniu, co do czego nie pasuje i może być błędne.

Jeżeli jednak czujesz się na siłach stworzyć skrypt, musisz go napisać w programie Notatnik. Niezależnie od źródła skryptu (lepiej z forum) tekst wklejasz do Notatnika i zapisujesz pod nazwą CFScript.txt. Tak stworzony plik przeciągasz na ikonę ComboFix, i zwalniasz klawisz myszy. Uruchamiasz w ten sposób program i procedurę kasowania. Życzymy powodzenia w działaniach programistycznych.

ComboFix może spowodować niestabilność Windows. Zazwyczaj, gdy jest używany niewłaściwie bądź przez osobę, która nie ma wystarczającej wiedzy. Aby zachować bezpieczeństwo, pokazaliśmy w pierwszym warsztacie, jak zainstalować Konsolę odzyskiwania (jest ona dostępna na płycie z Windows XP). Jeżeli się zdarzy, że twój system nie będzie chciał się uruchomić, skorzystaj z Konsoli odzyskiwania. Jeżeli system będzie się uruchamiał, a ComboFix skasował potrzebny plik, możesz go przywrócić ręcznie.

Konsolę odzyskiwania uruchamiasz, wciskając (wielokrotnie) podczas uruchamiania klawisz [F8]. Aby skorzystać z narzędzia, potrzebujesz hasła administratora komputera. Jeżeli sam go nie wprowadziłeś, to go nie ma i na prośbę o podanie hasła wystarczy wcisnąć klawisz [Enter].

Szczegółowy opis korzystania z narzędzia jest dostępny w artykule „Drugie życie Windows”, PC Format 1/2007, umieszczonym na płycie dołączonej do tego wydania. Pliki z kopii zapasowej wykonanej przez ComboFix znajdują się w katalogu C:\WINDOWS\ERDNT\Hiv-backup. I to z tej lokalizacji należy skopiować rejestr.

Pliki usunięte przez ComboFix znajdziesz w podkatalogu C:\Qoobox\Quarantine. Pliki skasowane przez program są oznaczone dodatkowym rozszerzeniem .vir, wystarczy je usunąć i przywrócić plik. Natomiast wpisy z rejestru są oznaczane rozszerzeniem .dat. Ich przywrócenie jest możliwe dzięki dwukrotnemu kliknięciu pliku .reg.