Combofix

Como comenté en la última entrada, hoy hablaré extensamente de una herramienta potentísima, pero con la que hay que tener cuidado, y no aplicarla en todo ordenador infectado que se vea. Reconociendo, eso sí, que con el potencial y el ratio de eliminación que tiene, es fácil que acabe siendo la primera herramienta que se use en caso de problemas víricos. Pero no debería.

Este software está creado por los genios absolutos de Bleeping Computer, que además ponen a disposición de los usuarios un tutorial acerca de su uso (también está en inglés, alemán y francés). Aún y así, yo intentaré ahora hacer un tutorial más actualizado que el de ellos, y quizás más detallado, ya que hay partes que mantienen desde versiones anteriores del software, y que están en desuso.

Antes de empezar, hay que descargarlo, y tenemos dos opciones: Bleeping Computer y ForoSpyware. Cualquier otra Web que lo ofrezca, evitadla totalmente (Combofix.org, por ejemplo). El propio programa así lo indica, como veremos más adelante.

Es recomendable darle un nombre diferente al original, como wintems, mdelk, iexplore u otros nombres de archivos que suelen ser habituales de Windows o de virus, para evitar que la infección pueda bloquearlo.
Aunque llevar Combofix en un pendrive o CD siempre va bien, lo mejor es descargarlo siempre que vayamos a hacer uso de él. Sino, hay dos posibilidades: que se actualice sólo, o que necesitemos volver a descargarlo, porque está fuera de fecha, y sólo funcionará un modo de funcionalidad reducida, poco práctica. Seguidamente, y en caso de disponer de alguna herramienta antivirus como Kaspersky, McAfee, Norton, Panda, Avast, AVG, etc... hemos de detener la seguridad en tiempo real, puesto que hace menos efectivo a Combofix.
Una vez hecho esto, yo recomiendo, aunque no es imprescindible, ejecutarlo en modo seguro con funciones de red. Esto es, antes de que salga la ventana de carga de Windows

apretar F8 repetidamente hasta que salga el menú de arranque, y escoger susodicha opción, segunda por arriba

Entonces, ya por fin, arrancamos la aplicación. Puede que nos salga algún mensaje de aviso de firma digital, de que el editor es desconocido y demás. Simplemente, o aceptamos o damos ejecutar para dar paso a Combofix.

Entonces, nos saldrá un mensaje de aviso acerca de que los creadores no se responsabilizan de los daños que sucedan, que hay ciertas Webs que no son admitidas para descarga el software, como he comentado antes, y algún que otro comentario legal.

Entonces, aquí es posible que salga un mensaje que hay que desconectar el análisis en tiempo real del antivirus. En algunos, como Avast, el mensaje sale igual aunque esté desconectado, así que si estamos completamente seguros de que no está en funcionamiento, ignoramos el mensaje (que saldrá dos veces) y seguimos.

Seguidamente, saldrá una ventana azul que nos será familiar de ahora en adelante.

Entonces, pasado un tiempo que va desde unos segundos hasta unos pocos minutos, existen dos posibilidades: que nos salga un aviso de instalación de Microsoft Recovery Console (MRC), mucho más común, o que, directamente porque nuestro PC ya la tiene instalada, ignora el siguiente párrafo.

Combofix pide la instalación de MRC (Herramienta de recuperación de Windows) para poder actuar con toda su potencial, ya que así se corre menos riesgo de poder dejar inutilizable el PC. Entonces, aceptamos que el propio programa descargue MRC (imagen de abajo), y una vez descargado, clicamos Aceptar y Yes, respectivamente, en las ventanas posteriores.

Unos minutos después, que no suelen ser más de 5 o 10 minutos en casos de tener más zona para recuperar, empezará la revisión por parte de Combofix. La diferente más importante entre el análisis de Combofix y el de un antivirus o programa antimalware común que he ido explicando últimamente, es que Combofix analiza 50 zonas conocidas por él, y no todo el ordenador. La ventana es tal que así

Es posible que si Combofix detecta algún rootkit (programa malicioso oculto, que otro día comentaré), se reinicie automáticamente para deshacerse de él, y seguir con las fases después.

Entonces, lo más habitual es que el programa acabe, y haga un reporte previo, con un apartado de Deleted Files (Archivos eliminados) y Deleted Folders (Carpetas eliminadas). También, si hay algún archivo de sistema que se ha visto infectado o cambiado por el virus, el programa lo restaura desde la copia de seguridad del propio Windows. Si no muestra nada, significa que no ha encontrado ninguna amenaza, o que no ha sabido encontrarla, que es factible, aunque menos frecuente.

A partir de aquí, si ha encontrado algo, según la gravedad, o el programa pasa dos fases, durante las cuales hay que dejar el ordenador sin tocar nada, dure el tiempo que dure, hasta que que salga un archivo en formato .txt con todo el reporte de la actividad que ha llevado a cabo Combofix, o se reinicia para eliminar alguna amenaza que haya en memoria, y entonces pasa esas dos fases que acabo de mencionar.

Es un poco complicado explicar ese reporte, aunque arriba salen los archivos y carpetas eliminados, y hace un poco de explicación de los servicios y entradas de registro existentes, y modificaciones realizadas. Tampoco es necesario utilizarlo, a no ser que se pase a alguien cualificado para que lo compruebe. De hecho, existen modificaciones que se pueden realizar con algunos apartados mediante Combofix, pero se escapa un poco de la intención de esta entrada.

Una vez cerramos, es recomendable volver a reiniciar el equipo y reactivar el análisis a tiempo real del antivirus. También entrar en Internet Explorer, si es el navegador que utilizamos habitualmente, y aceptar 2 o 3 opciones que se quitan. Y con esto, queda finalizando este tutorial más personalizado de Combofix. Mañana explicaré la instalación del antivirus Avast, mucho más sencillo que esto, lo reconozco.

Sobretodo, recomiendo está utilidad, pero en momentos críticos, no utilizar de buenas primeras, y con según que amenazas, porque el riesgo de poder bloquear el PC existe.