Menu Fermer

Tutoriel Combofix

Combofix est un outil de désinfection très utilisé autour de 2005/2010, du temps, des grands rootkit Rustock, Cutwail etc.
Avec l’arrivé, en 2007, de Malwarebytes, Combofix a été de moins en moins utilisé lors des désinfections sur les forums.

Combofix permet de désinfecter son ordinateur de manière automatique, il va analyser l’ordinateur et supprimer des infections.
Il est aussi tout à fait possible de créer un script afin de faire supprimer des dossiers, drivers et autres en particulier.
Combofix a été le premier programme permettant l’utilisation de script, s’en est suivi OTL et FRST.

Combofix est plutôt destiné aux infections type Trojan, que les infections Adwares, bien que certains Adwares utilisent des pilotes assez difficile à supprimer (cherimoya, netutils, ucguard).

combofix_logo

Combofix n’est pas un antivirus. C’est un logiciel qui analyse l’ordinateur et supprimer fichiers/dossiers considérés comme malicieux.
Il est fortement conseillé d’éviter Combofix pour vérifier si son ordinateur est infecté, dans la même optique de ce sujet : AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudes
Combofix est à utiliser si vous êtes certains que votre ordinateur est infecté.
Il est aussi recommandé de le faire utiliser avec une personne ayant les connaissances.
Vous risque de causer des problèmes et dommages.

Analyse Combofix

Combofix est compatibile Windows XP, Vista, Seven et 8.
Combofix n’est pas compatible Windows 10.

Compatibilité Combofix et Windows
Compatibilité Combofix et Windows

Cliquez bien sur le “bon” bouton de Download et attention aux publicités qui les imitent.

tutoriel_combofix

Vous pouvez suivre ce scan Combofix en vidéo :

Les grandes étapes du scan Combofix.

Au démarrage, un dislaimer, s’ouvre.
Vous devez accepter les conditions d’utilisation en cliquant sur “J’accepte”.

tutoriel_combofix_2 Le programme se décompresse.tutoriel_combofix_3-1 Une sauvegarde du registre avec ERUNT est alors effectuée.tutoriel_combofix_3 Puis Combofix lance la recherche de virus et malwares sur l’ordinateur.tutoriel_combofix_4 Puis les étapes d’analyse s’effectuent.
Cela peut prendre quelques dizaines de minutes.
Si des éléments malicieux sont détectés, une étape de suppression de fichiers/dossiers se lancent.tutoriel_combofix_5 L’ordinateur redémarre et Combofix se lance pour générer un rapport d’analyse.
Cette étape peut durer plusieurs minutes selon l’infection en activité, la puissance de l’ordinateur etc.
tutoriel_combofix_6

Rapport Combofix

Combofix génère un rapport (C:\Combofix.txt).
Ce script Combofix est particulièrement lors de désinfection sur les forums.

L’en-tête fournit des informations sur le système.
puis la liste des éléments supprimés.
combofix_rapport

Se trouve ensuite, la liste des derniers fichiers et dossiers créés (30 derniers jours).
Puis des points de chargement de Windows (Clé Run, Services/Drivers, configuration Firefox etc).combofix_rapport_2

CFScript

CFScript est un script qui peut être créer par l’utilisateur pour supprimer des éléments spécifiques à l’aide Combofix.
Une fois le fichier CFScript, il convient de faire glisser le Script sur l’icône Combofix.
Combofix va alors jouer le script.
CFScript est vraiment utile pour supprimer des malwares/virus récalcitrant.

CFScript est à destination d’utilisateur averti qui savent ce qu’ils font.

Quelques unes des commandes de scripts les plus courantes :

  • DRIVER:: permet de supprimer un service Windows
  • FILE:: supprime un fichier
  • ROOTKIT:: supprime un fichier considéré comme un rootkit
  • FOLDER:: supprime un dossier
  • Registry:: permet de supprimer des clés du registre. La syntaxe est la même que celle des fichiers reg de Windows.
  • FCOPY:: permet de copier un fichier, la syntaxe étant Chemin\source | chemin\destination
  • SRPeek:: restaure un fichier depuis un point de restauration

Voici un exemple de CFScript :

driver::
taphss
SRPeek::
c:\windows\system32\drivers\atapi.sys
FCOPY::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys
file::
C:\WINDOWS\system32\drivers\taphss.sys
C:\WINDOWS\system32\lpadg32.dll

Le plus simple est de partir d’un rapport Combofix.txt généré et de construire son CFScript à partir de là.
La vidéo suivante montre un exemple de l’utilisation d’un CFScript

A l’issu d’une nettoyage Combofix avec CFScript, un rapport identique est généré.
Dans l’en-tête, il est indiqué si un CFScript a été joué.

combofix_rapport_cfscript

Dossiers Combofix

Combofix créé des dossiers pour son utilisation contenant le programme.
et un dossier Qoobox contenant les CFScript utilisés, les scripts générés ainsi que la quarantaine du programme (les fichiers qui ont été supprimés par Combofix)
Il est donc, tout à fait, possible de restaurer des fichiers mis en quarantaine par Combofix.

combofix_qoobox

On retrouve l’arborescence avec les lecteurs et dossiers.

combofix_qoobox_2

Vous pouvez recopier manuellement un fichier ou utiliser un CFScript avec le commutateur DeQuarantine::

DeQuarantine::
C:\Qoobox\Quarantine\C\Windows\monsuperfichier.dll

Liens autour de la sécurité

Retrouvez d’autres outils de désinfection sur la page : Les outils de désinfection et de suppression de virus