Me chamo Rodrigo Melo. Trabalho com informática há 18 anos, sou formado em sistema de informação, e pós-graduado em segurança da informação.
Fiz questão de me cadastrar no GdH para postar este tutorial. Visto que este é um dos fóruns que mais frequento, aliás, sempre frequentei. Mas agora que resolvi me cadastrar!
Percebo uma multidão de usuários com dúvidas sobre o log e o script de preparo da ferramenta ComboFix. Então resolvi preparar este tutorial, visto que muitos fóruns por aí fazem 'segredos' quanto a utilização desta ferramenta. Embora seja um aplicativo bruto e que requer bastante cautela, não há segredos!
OBS: Não existe nenhum material como este aqui ou sequer semelhante na Internet, tanto no Brasil como em qualquer outro país. Este tutorial aqui foi feito totalmente por mim. Portanto, se for copiá-lo, peço que dê os devidos créditos por gentileza.
O Combofix é uma das ferramentas mais utilizadas para a remoção de vírus e malwares. Trata-se de um aplicativo standalone, ou seja, que não requer instalação mas que merece bastante cuidado ao usá-lo. O Combofix foi desenvolvido por sUBs e atualiza-se diariamente. No entanto, ele recebe atualizações incrementais no próprio .exe, isso quer dizer que você deve baixar um novo arquivo dele sempre que for usá-lo, para ter uma versão com banco de dados atualizado.
INTRODUÇÃO
Sempre que o Combofix finaliza o scan, ele gera um relatório (log) de tudo que ocorreu enquanto ele fazia a verificação. Para analisar este log, confesso que você deve ter uma noção boa dos arquivos do Windows. Afinal, no log não constam apenas vírus e malwares, mas também inúmeros ficheiros legítimos do Windows, que se porventura forem deletados erroneamente, deixará o sistema bastante instável ou inoperante. Aliás, a maioria dos arquivos são seguros e legítimos.
O primeiro passo é ir visualizando entrada por entrada. Veja o nome dos arquivos, a localização deles (pois muitos malwares com nomes de arquivos legítimos ficam em diretórios diferentes) e pesquise no Google para saber do que se tratam. Quem utiliza o Firefox pode tentar o add-on Malware Search para facilitar, pois é muito útil. Suspeita de algum arquivo? Submeta-o para uma análise no VirusTotal ou VirSCAN antes de qualquer atitude precipitada, que possa colocar em risco seu sistema operacional.
Informações do log
No log você irá se deparar com as seguintes informações e seções:
Outras Exclusões => Nesta área estão listados os arquivos que foram removidos pelo ComboFix.
Arquivos/Ficheiros criados => Arquivos e pastas criados e/ou modificados numa data ou num determinado período.
Relatório Find3M => É o relatório final do scan. Esta área lista os arquivos que estão fora da data ou de um período específico.
SigCheck => Lista de arquivos assinados digitalmente. Geralmente são legítimos da Microsoft, normalmente de algum service pack instalado.
Pontos de Carregamento do Registro => Esta área lista algumas entradas do Registro do Windows (regedit). Normalmente as entradas de programas que estão iniciando com o Windows (no msconfig), entradas associadas a toolbars, dentre outras, sempre aparecem.
Drivers/Serviços => Aqui estão listados alguns dos serviços e drivers presentes na máquina.
Tarefas Agendadas => Quando houver esta seção, listará o conteúdo presente na pasta Tarefas Agendadas do Windows em: C:\WINDOWS\Tasks.
ORFÃOS REMOVIDOS => Esta área mostra entradas inválidas no registro que foram removidas. Geralmente são entradas que não incluiam arquivos, como de programas recém desinstalados.
Scan Suplementar => Aqui são fornecidas informações sobre os navegadores, seus plugins (activeX, toolbars), opções do menu de contexto do Windows, configuração de rede do computador, e domínios confiáveis.
CATCHME => Esta área apresenta o relatório da ferramenta anti-rootkit GMER.
CHAVES DO REGISTRO BLOQUEADAS => Esta seção contém as entradas que estão inacessíveis ou bloqueadas no registro. Muitos programas bloqueiam as chaves mesmo, é normal. Porém, alguns malwares também criam chaves bloqueadas. Neste caso, muita atenção nesta área.
Analisando o log
Arquivos/Ficheiros criados ou Relatório Find3M
2011-03-13 20:32 . 2010-11-02 16:14 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
As descrições em azul indicam a data em que o arquivo foi criado/modificado
A descrição em preto indica a hora
A descrição em laranja indica o tamanho do arquivo
A descrição em roxo revela que trata-se de um arquivo
A descrição em verde mostra o caminho para chegar até o arquivo
E descrição vermelha é o nome do arquivo final
Atenção: Quando a letra das linhas pontilhadas for "d" quer dizer que trata-se de um diretório (pasta) e não arquivo.
Exemplo:
Pasta
2011-03-20 21:10 . 2011-03-20 21:12 -------- d-----w- c:\arquivos de programas\The KMPlayer
Arquivo
2011-03-13 20:32 . 2010-11-02 16:14 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
Sigcheck
[-] 2008-04-14 . 698F9583D1EB213B09F12DD5826A46E2 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\f7670e43b 3c19680acdc044a1fbe993f\sfcfiles.dllQuando houver a seção "Sigcheck" geralmente mostrará arquivos que incluem assinatura digital. Resumindo, na maioria das vezes, são arquivos legítimos do SO, os quais não devem ser removidos ou alterados antes de uma verificação minuciosa.
[-] 2007-09-02 . DB3AA410ED1228B9DF98C06549AE0763 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
Pontos de Carregamento do Registro
Esta é a área onde constam as principais entradas do registro. Antes de qualquer coisa, é altamente recomendável que você tenha no mínimo um nível intermediário de conhecimento sobre o registro do Windows. Pois ele é o 'coração' do SO. Em todo caso, um backup dele cai bem. Pode-se usar o ERUNT para isso.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]Olhando a entrada acima, dizemos que:
"PcSync"="c:\arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 0]
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => caminho do registro que leva até a chave Run
Run => chave de destino do caminho percorrido acima (esta chave está relacionada com a inicialização do sistema)
"PcSync" => geralmente denominamos que tudo que encontra-se dentro de uma chave, é chamado de valor. Portanto, PcSync é o valor do programa Nokia Pc Suite 6 localizado dentro da chave Run no registro.
c:\arquivos de programas\Nokia\Nokia PC Suite 6\PcSync2.exe => caminho que leva até o arquivo final
PcSync2.exe => arquivo final responsável por iniciar o programa Nokia PC Suite 6 quando o Windows é carregado
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
Esta acima é uma entrada referente ao firewall do Windows. Os aplicativos presentes nesta entrada estão como exceção no firewall. Para quem perguntar sobre aquele sinal de 'til' ali presente após o HKLM, é um resumo de: SYSTEM\CurrentControlSet.
Claro que no log você poderá visualizar inúmeras entradas do registro. Mas são parecidas com a primeira linha. Somente o caminho que será distinto.
Drivers/Serviços
R2 AntiVirSchedulerService;Avira AntiVir Programador;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe [2/11/2010 13:14 135336]Os Drivers são simplesmente os serviços presentes no services.msc do Windows. No entanto, nem todos os serviços são listados no log. Apenas alguns deles. Tipicamente são os drivers que são utilizados com mais frequência, que foram modificados ou até mesmo removidos.
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [16/11/2009 13:33 50704]
R2 Proteq;Proteq;c:\windows\system32\drivers\Proteq.s ys [17/7/2003 14:02 7598]
R2 WinDefend;Windows Defender;c:\arquivos de programas\Windows Defender\MsMpEng.exe [3/11/2006 18:19 13592]
S2 gupdate;Google Update Service (gupdate);c:\arquivos de programas\Google\Update\GoogleUpdate.exe [1/1/2002 01:16 136176]
S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [20/8/2010 13:16 5824]
Leitura:
R2 AntiVirSchedulerService;Avira AntiVir Programador;c:\arquivos de programas\Avira\AntiVir Desktop\sched.exe
Olhando o caminho acima, dizemos que:
O nome preenchido de roxo representa o nome principal do serviço no services.msc. O nome preenchido de rosa é o nome secundário do serviço. O caminho em negrito é onde o arquivo responsável pelo serviço está localizado. E o que está em azul é o nome do arquivo.
No exemplo acima, trata-se do serviço da solução antivirus Avira AntiVir e jamais deve ser deletado. A menos que o software já tenha sido desinstalado pelo usuário.
Tarefas Agendadas
Conteúdo da pasta 'Tarefas Agendadas'Muitos programas, ou até mesmo o usuário, agendam algo para fazer periodicamente. Por exemplo, você configurou para que um programa realizasse um scan em seu PC diariamente com hora marcada. Um arquivo será guardado na pasta Tasks para que o agendamento funcione devidamente.
.
2002-01-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\arquivos de programas\Google\Update\GoogleUpdate.exe [2002-01-01 04:16]
As tarefas possuem a extensão .job no arquivo. Ex: GoogleUpdateTaskMachineCore.job.
Scan Suplementar
------- Scan Suplementar -------O Scan Suplementar pode corresponder a partes como:
.
uStart Page = hxxp://www.terra.com.br/portal/
IE: E&xportar para o Microsoft Excel - c:\arquiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183 CA64F05FDD98.dll/cmsidewiki.html
TCP: {5B71003C-857A-4B68-B7B7-9A13338A758B} = 200.204.0.10 200.204.0.138
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} - hxxp://jiassuncao.no-ip.org:8010/cab/OCXChecker_8000.cab
DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://jiassuncao.no-ip.org:8010/cab/DownloadFile_8000.cab
FF - ProfilePath - d:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\bz358q01.default\
- Home page do IE
uStart Page = hxxp://www.terra.com.br/portal/
- Opção do menu de contexto do Windows- Dados do perfil e configurações do Mozilla Firefox
FF - ProfilePath - d:\documents and settings\Usuario\Dados de aplicativos\Mozilla\Firefox\Profiles\bz358q01.default\
- Arquivos activeX instalados no PC (observe que eles possuem a extensão .cab no final do arquivo)DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} - hxxp://jiassuncao.no-ip.org:8010/cab/OCXChecker_8000.cab
DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} - hxxp://jiassuncao.no-ip.org:8010/cab/DownloadFile_8000.cab
- Configuração de rede do PCTCP: {5B71003C-857A-4B68-B7B7-9A13338A758B} = 200.204.0.10 200.204.0.138
- Barras de busca presentes no IE IE: Google Sidewiki... - c:\arquivos de programas\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183 CA64F05FDD98.dll/cmsidewiki.html
O Scan Suplementar geralmente está ligado aos browsers instalados no computador. No log pode vir outras partes do scan suplementar, mas estas são as mais comuns.CHAVES DO REGISTRO BLOQUEADAS
[HKEY_USERS\S-1-5-21-1645522239-1844823847-839522115-1003\Software\SecuROM\License information*]Muita cautela na análise desta seção. Algumas chaves são bloqueadas por padrão no registro. A entrada acima, por exemplo, é uma proteção anti-cópia criada pela fabricante Sony DADC. Portanto, legítima!
"datasecu"=hex:00,15,68,79,5d,6d,97,eb,04,2d,fe,48 ,54,f5,e2,58,fd,72,41,a5,f5,
90,85,64,b8,12,3f,a4,29,a3,ae,f8,20,c7,1a,6a,1c,f5 ,b8,85,a0,f9,b6,15,90,27,\
"rkeysecu"=hex:3d,39,77,9b,45,f0,26,53,0f,02,e1,90 ,4c,ae,fa,2b
Mas nem sempre as entradas presentes aí são boas. No entanto, recomendo que você pergunte a algum especialista na área da segurança e análises, se a entrada que você suspeita é boa ou ruim. Em todo caso, pesquise no Google. Não há dica quanto esta entrada. O jeito é realmente pesquisar.
CFScript.txt - Como montar um script
Uma das perguntas que a maioria dos users fazem é: Como fazer um script do ComboFix? Mas afinal de contas, o que é este script?
Nada mais é do que uma linha de comandos que executa uma tarefa preparada manualmente e cuidadosamente definida pelo próprio usuário. O script é feito através do Bloco de Notas e salvo com o nome CFScript.txt no exato local onde o ComboFix está salvo. Em seguida o CFScript.txt é arrastado para o ícone do ComboFix e a ferramenta é mais uma vez executada.
Mas o que contém no script? Esta é a questão principal.
Como dito anteriormente, o script é composto por comandos que, ao serem unidos ao ComboFix, executam mais uma vez a ferramenta e, com a leitura do script, a ferramenta consegue dar conta das contaminações restantes.
Mas é lógico, para que isso ocorra, é preciso que você saiba quais são os malwares restantes, seus arquivos e caminhos. Para isso é necessário que você avalie o log e identifique a infecção. Se não souber identificar, pesquise ou pergunte aqui no fórum.
As linhas de comando mais comuns são:
File::
A sintaxe File tem a função de remover apenas arquivos.
Folder::
A sintaxe Folder tem a função de remover apenas pastas.
Registry::
A sintaxe Registry tem a função de remover chaves e valores do registro.
Driver::
A sintaxe Driver tem a função de remover os serviços e drivers.
Rootkit::
A sintaxe Rootkit tem a função de remover malwares identificados como rootkit. No entanto, a sintaxe File também remove rootkits.
KILLALL::
A sintaxe KILLALL tem a função de matar/finalizar os processos ativos no sistema para que a remoção seja efetuada com mais eficácia. É recomendado para infecções mais graves e complexas, ou em situações em que o PC encontra-se muito debilitado.
FileLook::
A sintaxe FileLook tem a função de verificar a integridade dos arquivos.
DirLook::
A sintaxe DirLook tem a função de averiguar o que há dentro de uma determinada pasta.
FCopy::
A sintaxe FCopy tem a função de substituir arquivos legítimos que foram contaminados, por arquivos legítimos novos/não contaminados.
Reglock::
A sintaxe Reglock tem a função de remover chaves bloqueadas do registro.
RegNull::
A sintaxe RegNull tem a função de remover chaves nulas do registro.
DDS::
A sintaxe DDS tem a função de remover entradas geralmente presentes no Scan Suplementar - explicado anteriormente - como: home page do IE, toolbars, plugins activeX e etc.
SysRst::
A sintaxe SysRst tem a função de listar os arquivos da restauração do sistema. Pois muitos malwares armazenam ficheiros na pasta da restauração.
NetSvc::
A sintaxe NetSvc tem a função de remover serviços listados na seção 'Netsvcs' do log. Claro, quando esta seção está presente.
Firefox::
A sintaxe Firefox tem a função de remover somente entradas relacionadas ao Firefox no log. As entradas deste browser ficam presentes na seção Scan Suplementar.
Existem vários outros comandos. Mas estes são os mais utilizados. Dificilmente você precisará de outros comandos.
Preparando o Script
Atenção! Antes de qualquer coisa, saiba que a responsabilidade pela preparação do script é totalmente sua. É altamente recomendável que você estude e treine em uma máquina virtual, antes de realizar qualquer procedimento aqui descrito. Em caso de dúvidas, peça auxílio a usuários mais experientes no assunto. A preparação incorreta de um script, e a remoção de arquivos legítimos importantes, pode deixar seu sistema literalmente inoperante e/ou instável.
Após ler e compreender sobre os comandos explicados anteriormente, mãos à obra!
Adendos importantes e fundamentais:
1) Nunca aja por impulso ou por 'achismo'. Pesquise sobre o arquivo antes de tentar qualquer coisa contra ele. Especialmente se o PC não for de sua pessoa.
2) Nunca se esqueça do par de dois pontos no final dos comandos. Ex: File::
3) A ordem do script não faz diferença, contanto que esteja correto.
4) O caminho completo do arquivo malicioso, ou da entrada maliciosa, deve ser colocado embaixo do comando. Nunca antes!
5) O script deve ser colado sempre no Bloco de Notas e salvo no lugar onde o ComboFix está, com o nome CFScript.txt
6) Após feito, o arquivo CFScript.txt deve ser arrastado para o ícone do ComboFix.
7) Depois de concluir o script, releia-o para ver se está tudo ok.
8) Pronto? Então vamos lá...
Utilizando o comando File::
Se você conseguiu identificar um arquivo malicioso no log, então use a tag File:: (não esquecendo sempre do par de dois pontos) e logo abaixo dela insira o caminho completo para o arquivo, do mesmo jeitinho que está no log.
Exemplo:
File::
C:\WINDOWS\system32\arquivo malicioso.exe
Utilizando o comando Folder::
Se identificou uma pasta maliciosa no log, use a tag Folder:: seguido do caminho completo para a pasta.
Exemplo:
Folder::
C:\Arquivos de programas\AskToolbar
Utilizando o comando Registry::
Aqui é preciso atenção!
Há pequenos detalhes para a utilização do comando Registry que não devem ser deixados de lado. Veja a diferença.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]Descobriu a diferença entre as duas entradas do QUOTE? Simples.
"Malware"="C:\WINDOWS\arquivo malicioso.exe"
[HKEY_CLASSES_ROOT\CLSID\{Malware}]
Na primeira entrada, você tem de remover um "arkGreen">valor" (no caso "Malware") que esta sob a chave Run.
Já na segunda entrada você tem de remover a "arkGreen">chave" "Malware".
Veja como fica no script.
Para valor use:
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware"=-
Veja que na hora do script não há necessidade de colocar o caminho do arquivo. Apenas o nome entre as aspas. Contudo, além da entrada no registro, você também deve remover o arquivo responsável por esta entrada. Então o script correto seria:
File::Para chave use:
C:\WINDOWS\arquivo malicioso.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Malware"=-
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{Entrada Maliciosa}]]
Observe que em ambos os scripts, um sinal de travessão (-) é adicionado.
Na primeira entrada o travessão é colocado no final do script após o sinal de igual (=), "Malware"="-"
Na segunda entrada o travessão é adicionado logo no início do script após o primeiro colchete, ["-"HKEY....
Nunca se esqueça do travessão, pois sem ele, o script não funciona corretamente. É só lembrar: para valor o travessão é no final. Para chave é no começo.
Utilizando o comando Driver::
Se identificou algum serviço malicioso na seção driver, é hora de removê-lo. Ressaltando que você pode simplesmente parar o serviço pelo próprio services.msc.
Para remover um serviço, não precisa colocar a descrição inteira do começo. Coloque apenas o primeiro nome do serviço.
Exemplo:
S2 arkRed">serviçomalicioso;Malware (malware);c:\windows\system32\drivers\arquivomalicioso.sys [1/5/2011 01:16 136176]O script ficaria assim
Driver::
serviçomalicioso
Porém, nesta ocasião você deve remover também o arquivo responsável pelo serviço no comando File. Então, o correto seria:
Driver::
serviçomalicioso
File::
c:\windows\system32\drivers\arquivomalicioso.sys
Utilizando o comando Rootkit::
Se você identificou uma infecção por rootkit no log, presente na seção CATCHME, anote o caminho completo do malware e use o seguinte comando:
Rootkit::
C:\WINDOWS\system32\drivers\nome do rootkit.sys
Seção anti-rootkit no log.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netUtilizando o comando FileLook::
Rootkit scan 2011-03-27 16:21
Windows 5.1.2600 Service Pack 2 NTFS
.
Procurando processos ocultos ...
.
Procurando entradas auto inicializáveis ocultas ...
.
Procurando ficheiros/arquivos ocultos ...
arkRed">C:\WINDOWS\system32\drivers\nome do rootkit.sys 16384 bytes
.
Varredura completada com sucesso
arquivos/ficheiros ocultos: arkRed">1
Se você quiser informações mais detalhadas sobre um arquivo, pode usar a tag FileLook seguido do caminho do arquivo.
Exemplo:
FileLook::
C:\arquivo.exe
Utilizando o comando DirLook::
Este comando é bem interessante. Caso você queira saber o que há dentro de alguma pasta específica, use a tag DirLook seguido do caminho da pasta.
Exemplo:
DirLook::
C:\Users\AppData\Local\qualquer pasta
Utilizando o comando FCopy::
Esta tag só deve ser usada quando houver um arquivo legítimo contaminado acusado na seção Outras Exclusões, e existir este mesmo arquivo limpo no sistema. Observe este exemplo abaixo.
((((((((((((((((((((((((((((((((((((( Outras Exclusões )))))))))))))))))))))))))))))))))))))))))))))))))))O ComboFix alertou que o ficheiro userinit.exe (legítimo do Windows) está infectado. De duas uma: ou o arquivo está realmente contaminado, ou é falso positivo da ferramenta.
.
c:\windows\system32\userinit.exe . . . está infectado!!
Sempre quando instalamos o Windows, ou o service pack, uma pasta com as cópias de determinados arquivos é criada. Primeiramente, veja se existe um outro userinit.exe no sistema e substitua-o pelo infectado. Se não houver uma cópia no sistema, será necessário utilizar o CD do Windows ou transferir de um outro PC.
Todavia, havendo uma cópia do arquivo na máquina, use o comando FCopy seguido da localização da cópia do arquivo, coloque uma barra (|), e depois a localização do arquivo infectado.
Exemplo:
FCopy::
C:\WINDOWS\ServicePackFiles\i386\userinit.exe | C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\ServicePackFiles\i386\userinit.exe => cópia do userinit.exe limpo
C:\WINDOWS\system32\userinit.exe => userinit.exe infectado
Se ainda assim a descrição que o arquivo está contaminado continuar aparecendo, você pode utilizar métodos alternativos. Algumas ótimas ferramentas: Kaspersky AVP Tool, Dr. Web CureIt ou Hitman Pro.
Em todo caso, você pode enviar o arquivo para o VirusTotal para tirar conclusões exatas.
Utilizando o comando Reglock::
Ao identificar que existem entradas bloqueadas maliciosas na seção "CHAVES DO REGISTRO BLOQUEADAS", elas aparecerão mais ou menos assim.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------Para removê-las use a tag Reglock seguido das entradas.
[HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE]
@DACL=(02 0000)
"Start Counter"=dword:00000001
"InstallTime"=hex:a5,9d,86,a8,f1,74,e3,40
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE]
@DACL=(02 0000)
"Installed"="1"
@=""
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE1]
@DACL=(02 0000)
"NoChange"="1"
"Installed"="1"
@=""
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE2]
@DACL=(02 0000)
"Installed"="1"
@=""
Reglock::
[HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE1]
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MALWARE2]
arkGreen">OBS: Nunca acrescente as informações embaixo das entradas no script. Isto é, anote apenas o que está entre os colchetes ([]).
Se você observar melhor no script acima, o sinal de travessão (-) que deve ser colocado no script para remover chaves do registro como explicamos anteriormente, agora não aparece no Reglock. E é assim que deve ser. Nunca acrescente o travessão nas entradas presentes no comando Reglock ou RegNull.
Utilizando o comando RegNull::
Ao identificar entradas nulas maliciosas na seção "CHAVES DO REGISTRO BLOQUEADAS", elas aparecerão mais ou menos assim.
--------------------- CHAVES DO REGISTRO BLOQUEADAS ---------------------Use a tag RegNull seguido das entradas. Exemplo:
[HKEY_USERS\S-1-5-21-2000478354-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61,6c,69,64,67,65,61,
66,64,00,e8
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}\InProcServer32*]
"malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61,6c,69,64,67,65,
61,66,64,00,00
"malware"=hex:6a,61,61,6a,6c,69,6a,69,68,6e,65,61,6c,69,64,67,65,61,
66,64,00,8e
RegNull::
[HKEY_USERS\S-1-5-21-2000478354-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}\InProcServer32*]
Muitos podem ficar indecisos e com dúvidas sobre quando utilizar o Reglock ou RegNull, uma vez que ambas devem ser usadas com entradas localizadas na seção 'CHAVES DO REGISTRO BLOQUEADAS'.
Porém, há um pequeno detalhe que diferencia as duas, e poucos vêem isso. No final da entrada, se houver um asterísco (*) é uma entrada nula. Se não houver o asterísco é uma entrada bloqueada. Veja:
Chave nula
[HKEY_USERS\S-1-5-21-2000478354-261903793-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F8A63132-D8E8-544F-5FB0-6B6B7122EBA8}*]
Chave bloqueadaObserve o asterísco no final, antes do último colchete, do primeiro exemplo.
[HKEY_USERS\S-1-5-21-3458104535-1627790608-1016251302-1003\Software\CrucialSoft Ltd\MALWARE]
Utilizando o comando DDS::
Ao identificar alterações maléficas na seção Scan Suplementar, com exceção das linhas referentes ao Firefox, use a tag DDS seguido da linha em questão.
DDS::
uStart Page = hxxp://www.paginamalicioso.com/find.php
Utilizando o comando SysRst::
Use esta tag para averiguar os arquivos da pasta da Restauração do Sistema, System Volume Information. Não precisa colocar nenhum arquivo embaixo deste comando, apenas ele sozinho.
Exemplo:
SysRst::
O log vai listar tudo o que está salvo na pasta System Volume Information.
Utilizando o comando NetSvc::
Faz um tempo que não vejo ocorrências da entrada Netsvcs no log do ComboFix, mas caso apareça, será semelhante ao exemplo abaixo.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcsPara remover os serviços maliciosos do Netsvcs, basta usar a tag NetSvc e colocar apenas os nomes dos serviços.
malware
malware1
malware2
etc
NetSvc::
malware
malware1
malware2
etc
Utilizando o comando Firefox::
Use a tag Firefox seguido de entradas maliciosas (ou inválidas) do Firefox que estarão na seção Scan Suplementar.
Exemplo:
Firefox::
FF - ProfilePath - c:\documents and settings\user\Dados de aplicativos\Mozilla\Firefox\Profiles\xxxxxx.default\
FF - prefs.js: browser.search.selectedEngine - adware (pt)
FF - prefs.js: browser.startup.homepage - www.paginamaliciosa.com
CONCLUSÃO FINAL
Bom pessoal, é isso!
O tutorial serve mais para explicar e tirar dúvidas de quem quer aprender a trabalhar com o ComboFix. Volto a frisar que você treine antes de fazer uso avançado da ferramenta ou de um script.
Espero que tenham entendido e gostado.
Dúvidas? É só perguntar aqui! Deseja acrescentar alguma informação ao tutorial? Poste que eu edito e coloco nele.
Eu possuo o tutorial em texto também. Quem quiser, é só me enviar uma MP.
Um grande abraço a todos e fiquem com Deus !!!