Combofix est un outil de désinfection très utilisé autour de 2005/2010, du temps, des grands rootkit Rustock, Cutwail etc.
Avec l’arrivé, en 2007, de Malwarebytes, Combofix a été de moins en moins utilisé lors des désinfections sur les forums.
Combofix permet de désinfecter son ordinateur de manière automatique, il va analyser l’ordinateur et supprimer des infections.
Il est aussi tout à fait possible de créer un script afin de faire supprimer des dossiers, drivers et autres en particulier.
Combofix a été le premier programme permettant l’utilisation de script, s’en est suivi OTL et FRST.
Combofix est plutôt destiné aux infections type Trojan, que les infections Adwares, bien que certains Adwares utilisent des pilotes assez difficile à supprimer (cherimoya, netutils, ucguard).
Table des matières
Combofix n’est pas un antivirus. C’est un logiciel qui analyse l’ordinateur et supprimer fichiers/dossiers considérés comme malicieux.
Il est fortement conseillé d’éviter Combofix pour vérifier si son ordinateur est infecté, dans la même optique de ce sujet : AdwCleaner, RogueKiller, ZHPCleaner : mauvaises habitudes
Combofix est à utiliser si vous êtes certains que votre ordinateur est infecté.
Il est aussi recommandé de le faire utiliser avec une personne ayant les connaissances.
Vous risque de causer des problèmes et dommages.
Analyse Combofix
Combofix est compatibile Windows XP, Vista, Seven et 8.
Combofix n’est pas compatible Windows 10.
- Page de téléchargement : http://www.bleepingcomputer.com/download/combofix
- Guide et tutorial Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Cliquez bien sur le “bon” bouton de Download et attention aux publicités qui les imitent.
Vous pouvez suivre ce scan Combofix en vidéo :
Les grandes étapes du scan Combofix.
Au démarrage, un dislaimer, s’ouvre.
Vous devez accepter les conditions d’utilisation en cliquant sur “J’accepte”.
Le programme se décompresse.
Une sauvegarde du registre avec ERUNT est alors effectuée.
Puis Combofix lance la recherche de virus et malwares sur l’ordinateur.
Puis les étapes d’analyse s’effectuent.
Cela peut prendre quelques dizaines de minutes.
Si des éléments malicieux sont détectés, une étape de suppression de fichiers/dossiers se lancent. L’ordinateur redémarre et Combofix se lance pour générer un rapport d’analyse.
Cette étape peut durer plusieurs minutes selon l’infection en activité, la puissance de l’ordinateur etc.
Rapport Combofix
Combofix génère un rapport (C:\Combofix.txt).
Ce script Combofix est particulièrement lors de désinfection sur les forums.
L’en-tête fournit des informations sur le système.
puis la liste des éléments supprimés.
Se trouve ensuite, la liste des derniers fichiers et dossiers créés (30 derniers jours).
Puis des points de chargement de Windows (Clé Run, Services/Drivers, configuration Firefox etc).
CFScript
CFScript est un script qui peut être créer par l’utilisateur pour supprimer des éléments spécifiques à l’aide Combofix.
Une fois le fichier CFScript, il convient de faire glisser le Script sur l’icône Combofix.
Combofix va alors jouer le script.
CFScript est vraiment utile pour supprimer des malwares/virus récalcitrant.
CFScript est à destination d’utilisateur averti qui savent ce qu’ils font.
Quelques unes des commandes de scripts les plus courantes :
- DRIVER:: permet de supprimer un service Windows
- FILE:: supprime un fichier
- ROOTKIT:: supprime un fichier considéré comme un rootkit
- FOLDER:: supprime un dossier
- Registry:: permet de supprimer des clés du registre. La syntaxe est la même que celle des fichiers reg de Windows.
- FCOPY:: permet de copier un fichier, la syntaxe étant Chemin\source | chemin\destination
- SRPeek:: restaure un fichier depuis un point de restauration
Voici un exemple de CFScript :
driver:: taphss SRPeek:: c:\windows\system32\drivers\atapi.sys FCOPY:: c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys file:: C:\WINDOWS\system32\drivers\taphss.sys C:\WINDOWS\system32\lpadg32.dll
Le plus simple est de partir d’un rapport Combofix.txt généré et de construire son CFScript à partir de là.
La vidéo suivante montre un exemple de l’utilisation d’un CFScript
A l’issu d’une nettoyage Combofix avec CFScript, un rapport identique est généré.
Dans l’en-tête, il est indiqué si un CFScript a été joué.
Dossiers Combofix
Combofix créé des dossiers pour son utilisation contenant le programme.
et un dossier Qoobox contenant les CFScript utilisés, les scripts générés ainsi que la quarantaine du programme (les fichiers qui ont été supprimés par Combofix)
Il est donc, tout à fait, possible de restaurer des fichiers mis en quarantaine par Combofix.
On retrouve l’arborescence avec les lecteurs et dossiers.
Vous pouvez recopier manuellement un fichier ou utiliser un CFScript avec le commutateur DeQuarantine::
DeQuarantine:: C:\Qoobox\Quarantine\C\Windows\monsuperfichier.dll
Liens autour de la sécurité
- Sécuriser son Windows (version courte)
- Les liens du site autour de la sécurité de Windows/Internet : Virus & Sécurité
Retrouvez d’autres outils de désinfection sur la page : Les outils de désinfection et de suppression de virus