Combofix

Ein sehr mächtiges, deshalb aber auch kritisches, Tool ist Combofix. Bisher ist mir kein Fall bekannt, dass Combofix ein System zerstört hat, allerdings ist es nicht auszuschließen. Vor dem Einsatz von Combofix empfehle ich deshalb unbedingt eine Datensicherung durchzuführen, falls das System neu installiert werden muss. Combofix funktioniert leider nicht hundertprozentig unter 64bit-Systemen.

Combofix kann man sich unter folgender Quelle herunterladen: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Hier findet man immer die aktuelle Version. Es ist wichtig, dass man immer die aktuelle Version benutzt. Combofix wird mehrmals täglich aktualisiert, deshalb, wenn möglich, immer direkt vor dem Scan das Programm herunterladen und keine Version nehmen, die mehr als 2 Stunden alt ist.

Das Programm findet durch sehr spezielle Methoden sehr effizient Malware und entfernt diese. Da es aber auch nur ein Programm ist, kann man nicht davon ausgehen, dass es alles findet und eliminiert. Deshalb ist es ratsam, in einem Sicherheitsforum das Logfile, welches von Combofix am Ende des Vorgangs generiert wird, zu veröffentlichen, damit ein Experte nochmal drüber schaut.

Vor der Anwendung von Combofix ist es ratsam, den Papierkorb zu leeren und temporäre Dateien zu löschen. Dies geht ganz gut mit dem CCleaner von Piriform. Außerdem verträgt sich Combofix nicht mit anderen Virenscannern, weshalb diese deaktiviert werden müssen. Sofern nicht die Windows-Firewall eingesetzt wird, ist es ebenfalls empfehlenswert, die Firewall auszuschalten.

Falls Combofix nicht gestartet werden kann, weil die Malware dies verhindert, sollte das Programm umbenannt werden. Der Phantasie sind dabei eigentlich keine Grenzen gesetzt, aber auch wildes Herumtippen auf der Tastatur reicht vollkommen aus (aus combofix.exe wird dann bspw. mjsdbdxfgsr.exe). Anschließend wird das Programm dann nicht per Doppelklick, sondern über Start -> Ausführen (Windows Vista und Windows 7 = Windowstaste + R) gestartet:

"%userprofile%\desktop\mjsdbdxfgsr.exe" /killall

Das Programm muss als Administrator gestartet werden. Unter Windows Vista und Windows 7 muss man dazu einen Rechtsklick auf das Programm machen und die Option „Als Administrator ausführen“ wählen.

Wenn das Programm gestartet ist, kommen mehrere Abfragen. Den Disclaimer und eine Warnmeldung beantwortet man mit Ja. Bei der Frage, ob die Wiederherstellungskonsole installiert werden soll, wird Nein gewählt (wir haben für den schlimmsten Fall ja sowieso eine Sicherung angelegt). Der Scanvorgang wird anschließend gestartet und dauert nun einige Minuten. In dieser Zeit bitte nichts mehr am PC machen (auch nicht irgendwo hin klicken), da dies Combofix und den ganzen PC zum Absturz bringen kann. In seltenen Fällen startet Combofix den PC neu. Hier dann darauf achten, dass man möglichst den eigenen Virenscanner und die Firewall wieder deaktiviert.

Im Anschluss erstellt Combofix eine Log-Datei. Auch dieser Vorgang kann einige Minuten dauern. In aller Regel wird die Log-Datei nach dem Durchlauf von Combofix automatisch angezeigt. Ist dies nicht der Fall, findet man die Log-Datei unter C:\combofix.txt. Den Inhalt der Log-Datei wird nun kopiert und in das Sicherheitsforum seines Vertrauens eingestellt.

Um Combofix wieder zu deinstallieren, gibt man unter Start -> Ausführen (Windows Vista und Windows 7 = Windowstaste + R) den Befehl

Combofix /uninstall

ein. Sollte dies nicht funktionieren, reicht es auch aus, das Verzeichnis C:\QooBox zu löschen.

Manchmal kommt es vor, dass die Netzwerk-/Internetverbindung nach dem Combofix-Einsatz nicht mehr funktioniert. Um das Problem zu beseitigen, klicke mit der rechten Maustaste auf das Netzwerksymbol unten neben der Uhr und wähle unter Windows XP „Reparieren“. Unter Windows Vista und Windows 7 klickst Du dort auf „Problembehandlung“ und lässt die Diagnose durchführen.

5 Gedanken zu „Combofix

  1. Pingback: TR/AGENT.564800 von AVIRA gefunden - Virus Hilfe

  2. Pingback: laptop sehr langsam, boottime viel zu lang, manche internetseiten ersch.komisch - Spyware Hilfe

  3. Ich hatte diverse Probleme im laufendem Win 7 System.
    Nach ensprechender Suche im Web habe ich dann Deine Seite gefunden und natürlich http://bleepingcomputer.com
    Danach als erstes Datensicherung gemacht. Dann habe ich mich akribisch an die Anleitung gehalten. Combofix ist durch gelaufen.
    Rechner problemlos neu gestartet.
    Und dann das große „AHA“ Erlebnis. Nicht nur das akute Problem, sondern auch ein paar andere „Nickeligkeiten“ sind verschwunden.
    GANZ großes Lob an die Macher von „Combofix“ und natürlich an Dich „for spreading the news“.
    Folgende Probleme sind jetzt gelöst:
    „Setup*.exe“ lässt sich wieder ausführen.
    (Das ging nicht mehr.
    Meldung: „Setup.exe konnte nicht gefunden werden“. Nur mit Umbenen von „Setup.exe“ in „Install.exe“ konnte ich überhaupt noch Programme installieren.)
    NET Framework 4.0 konnte ich endlich installieren.
    (Blieb vorher mitten in der Inatstallation hängen.)
    Und was mich am meisten genervt hatte:
    Firefox öffnet wieder *.mht Dateien von der Festplatte.
    Ich speichere öffters interressante Web Seiten im *.mht Format auf der Festplatte ab. Die ließen sich seit einiger Zeit nicht mehr mit dem Firefox öffnen. Nur mit „IE“ oder „Chrom“. (Beide schnüffeln mir aber zuviel).
    Jetzt arbeitet das „Füchslein“ auch wieder von der Festplatte.
    Nochmals vielen Dank!
    Das ist ein prima Tip.
    (Man muß nur vorsichtig mit „Combofix“ umgehen und unbedingt vor dem Durchlauf eine Datensicherung anlegen.
    Viele Grüße
    Stephan

  4. Hallo und vielen Dank erstmal für die EInführung. Ich möchte gerne noch mehr Info´s über die Inhalte des Combofix-Textes. Wo soll ich nachschlagen? Z.B: was bedeutet für mich „Gesperrte Registrierungsschluessel“ und „Weitere laufende Prozesse“ und die restlichen Tags im Combofix-Text. Danke

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.