Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, observo que en Anti-Malwares - Info Spyware se recomienda combofix. Tras una mala experiencia con este programa, me puse a indagar sobre esta herramienta y descubri que no se debería de recomendar su uso.

El caso es que mi ordenador fue infectado por el asqueroso totour.exe, un virus complejo y dificil de eliminar y que incluye varios troyanos. Consegui neutralizar los troyanos y el envio residente por smtp ,mientras me tomaba un tiempo para estudiar el tema con posterioridad..Luego,durante la ideación del proceso de limpieza total de mi disco duro (listando acciones de varios programas que me habia ido bajando), ejecute el combofix (en el foro de superantyspyware lo sugerian para un caso como el mio) para poder descartar o no su uso. No recordaba haber encontrado mucha informacion sobre la utilidad real de este programa y en la confianza de que tenia que tratarse de una herramienta segura, cometi la ligereza de ejecutarla.
Resultado: los varios troyanos que habia descargado el totour resucitaron del registro...No tarde mucho en arreglarlo, pero más tarde busque mas informacion sobre el programa combofix y lo que me habia sucedido. Encontre esto en foros en inglés (no traduzco las citas, pero se entiende bastante bien):

1)Herramienta no publica

En Anti-Malwares - Info Spyware se recomienda combofix. El enlace lleva a Bleeping Computer - Computer Help and Discussion, donde mora el creador de esta herramienta ..Hay que registrarse. Una vez hecho intentamos encontrar en la seccion de resources esta herramienta, pero no la encontramos de modo alguno.

En Help: MSNETAX.DLL Reinfected - PC Pitstop Forums , se lee en un mensaje de marzo:
"ComboFix was pulled out of public use. Do not run ComboFix!! If you have it in your system, please remove it." (esto se debio la existencia de versiones infectantes)

En Combofix-changed My Default Browser Settings? :
Feb 8 2007, 03:12 PM
"Do you know what to look for? Who asked you to download and run Combofix? What problems are you having that you needed to use it? This is an advanced tool normally used by experts who are helping others to investigate and remove malware infections in the Hijackthis forum. It is
intended to be used under the guidance and supervision of an expert, not for private use"


2)ANTIVIRUS, CAMBIOS EN EL REGISTRO NO DESEADOS Y VERSIONES PELIGROSAS

En Combofix-changed My Default Browser Settings?:

Feb 8 2007, 10:46 AM
zorandjr:
"I have downloaded Combofix.exe from this address
http://download.bleepingcomputer.com/sUBs/combofix.exe (la C seria mayuscula)
I have scanned with it and got a report,nothing found I think- no indication in the report
But after scanning with it , IE icon showed up on Desktop and Firefox reported that it is not Default browser ,and my IE home page changed from Blank to MSN, and this is what I have discovered for now.
Is this normal or I did something wrong? [Esto tambien me sucedio a mi tras ejecutar durante unos instantes otra version buena de combofix al descubrir que la que habia ejecutado anteriormente era una version erronea e infectante con un rootkit, como veremos mas adelante]
(..)
Second question is- Do you know why I have this from UNA at Virustotal.com:

UNA -1.83 -01.30.2007 Trojan.Win32.Agent.BA1E (and today too) for DrWeb Cure-it?

This was something that happened once before when I accidentally emailed Stinger, Combofix and Vcleaner/grisoft/ to Virustotal - but from ESafe( -Trojan/Worm)"

Yo hize la prueba y me salian resultados similares:

zorandjr
Feb 8 2007, 02:00 PM
"and the almost the same for combofix.exe, as the last time

Complete scanning result of "combofix.exe", received in VirusTotal at 02.08.2007, 18:45:06 (CET)

AntiVir 7.3.1.34 02.08.2007 no virus found
Authentium 4.93.8 02.07.2007 no virus found
Avast 4.7.936.0 02.08.2007 no virus found
AVG 386 02.08.2007 no virus found
BitDefender 7.2 02.08.2007 no virus found
CAT-QuickHeal 9.00 02.08.2007 no virus found
ClamAV devel-20060426 02.08.2007 no virus found
DrWeb 4.33 02.08.2007 no virus found
eSafe 7.0.14.0 02.08.2007 suspicious Trojan/Worm
eTrust-InoculateIT 30.4.3378 02.08.2007 no virus found
eTrust-Vet 30.4.3378 02.08.2007 no virus found
Ewido 4.0 02.08.2007 no virus found
Fortinet 2.85.0.0 02.08.2007 no virus found
F-Prot 4.2.1.29 02.07.2007 no virus found
F-Secure 6.70.13030.0 02.08.2007 no virus found
Ikarus T3.1.0.31 02.08.2007 Trojan-Dropper.Win32.Delf.FZ
Kaspersky 4.0.2.24 02.08.2007 no virus found
McAfee 4959 02.08.2007 no virus found
Microsoft 1.2101 02.08.2007 no virus found
NOD32v2 2046 02.08.2007 no virus found
Norman 5.80.02 02.08.2007 no virus found
Panda 9.0.0.4 02.08.2007 Suspicious file
Prevx1 V2 02.08.2007 no virus found
Sophos 4.13.0 02.08.2007 no virus found
Sunbelt 2.2.907.0 02.02.2007 no virus found
Symantec 10 02.08.2007 no virus found
TheHacker 6.1.6.053 02.07.2007 no virus found
UNA 1.83 02.08.2007 Trojan.BAT.Small.BC0B
VBA32 3.11.2 02.08.2007 no virus found
VirusBuster 4.3.19:9 02.08.2007 no virus found "

(....)
zorandjr
Feb 20 2007, 02:48 PM
"Should I be worried about this:


QUOTE
The tool, ComboFix has been temporarily withdrawn.
The author discovered a rootkit infection that will intefere with ComboFix's running.
This will cause Combofix to be UNSAFE FOR USE on your machine.
Even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL
Apologies for any inconvenience caused


and


QUOTE
I have just encountered a rootkit that will cause CF to recursively delete all files from
SystemDrive.
Pulling the tool till further notice.
Please inform your users not to use CF. Who knows if that rootkit is in there.
Please spread the word. Also have users delete their copies of CF
?


I have scanned recently, not with combofix.Nothing was found.


Everything was slower, mainly downloads, after my mistake with combofix."

En otro hilo (Combofix Question.), posteriormente:

Mar 8 2007, 11:03 PM
howard hopkinso

"Just to let everyone know. Combofix has now been fixed and is safe to use once more.
Regards Howard" [Aun asi se demuestra la existencia de versiones peligrosas]

En Combofix.exe
, miekiemoes dice que los resultados de los antivirus son falsos positivos
Jul 17 2007, 03:29 PM
"Yes, that are false positives. Most Vendors flag the NirCmd.exe that Combofix uses as suspicious.
Nothing wrong with nircmd.exe : NirCmd - Freeware command-line tool "


3)FALLOS GRAVES DEL PROGRAMA

En Log Looks Dirty, el usuario iblah presenta una serie de problemas.

d-trojanator responde,entre otras cosas:
Jul 7 2007, 09:53 AM
Please download Combofix to your desktop.
Doubleclick combofix.exe to launch the application.

iblah responde que tiene problemas con el combofix:
Jul 7 2007, 06:28 PM
"I did all but combofix. I let it run for 30 mins and got impatient so I closed it, restarted my computer, ran it again and took off for a few hours. When I came back it was still scanning so I just closed it.(...)combofix also reset my time settings to 24hours "

Mas tarde:
d-trojanator:
Jul 10 2007, 02:37 PM
"Ok let's try that. Delete combofix from your desktop, along with the "C:\ComboFix" folder.
Redownload combofix from the above link, and rerun it a per previous instructions..
If it doesn't work, don't worry - I will get the tool author to have a look."

(..a iblah le sigue sin furular...)

d-trojanator:
Jul 12 2007, 06:36 PM
"Sorry for the delay in getting back to you, I've been in contact with the author of combofix and it's been a struggle trying to find what's wrong with the tool.
I'm going to need to get a couple of samples off you before we continue with the fix, please bear with me."

(...d-trojanator sigue tratando el problema....)

Jul 13 2007, 03:45 PM
iblah:
"Okay I deleted ~.exe and let combofix run for about an hour and still got nothing. =S "


En Log Looks Dirty , ya llega Subs, el creador del programa y Se disculpa por crear esa "estupida herramienta":

Jul 13 2007, 03:54 PM
Subs:
"Hello, I'm sUBs. I apologise for making that stupid tool, ComboFix that's currently tormenting you" y explica una serie de acciones con un programa creado por él que mientras corre ejecutan el combofix parcheandolo y con otro programa en caso de que falle el primero.

Posteriormente subs le recomienda otro programa mas que ha creado para reportar los fallos del combofix, que iblah consigue ejecutar no sin problemas..

IMPORTANTE:
Jul 15 2007, 04:49 PM
Subs:
"iblah, how are things on your side? Still getting ComboFix hangs?
If it still persist, I will have to make you a special copy of ComboFIx that'll skip that subroutine. "


En resumen: Es una herramienta NO PUBLICA,que produce cambios en el registro que pueden no ser deseados, con bugs de programacion actualmente y con versiones existentes que infectan el ordenador.

Me parecio de interés (además de obligado) dar a conocer estas informaciones,ya que infospyware recomienda este programa.

SAludos

Hola invitad0,

Antes que nada lamento que hayas tenido una mala experiencia con esta herramienta y tanto en la descarga de InfoSpyware como en la de Bleepingcomputer.com (donde esta su propio creador sUBs) se informa que estas herramienta es AS-IS y que sea usada bajo supervización de un experto y no son responsables por problemas que esta puede causar ya que son para usar bajo tu propia responsabilidad.

1.- No se a que te refieres con que la herramienta sea o no sea publica, la herramienta si es publica, solo se recomienda saber usarla y bajo la propia responsabilidad de cada uno.

En todo caso nosotros no tendríamos problemas ya que trabajo personalmente en Bleeping y otros comunidades en conjunto con sUBs

ElPiedra - Viewing Profile in Bleepingcomputer.com


2.- Esto es verdad ya que hay algunos Antivirus como el caso de Panda que reconocen parte de los archivos que usa el ComboFix como una infección y obviamente lo muestran como un peligro.

Esto es un falso positivo y no hay de que preocuparse, mucho menos cuando una vez usado el programa lo puedes borrar y listo ya no habría mas archivos sospechosos en tu sistema.

Hasta entre los mismos programas comerciales se detectan a veces entre ellos como peligrosos o infecciones, sino haz la prueba de pasar Panda Antivirus online tenido el Antivirus AVAST! y veras de lo que hablo.

3.- También es verdad que durante casi un mes y medio la herramienta estuvo fuera de servicio al detectarse en esta que generaba algunos errores en el sistema debido a algunas circunstancias especiales.

Una vez que se corrigieron estos temas se volvió a poner nuevamente activo los links de las descargas de este en todas las comunidades que lo usamos habitualmente.

Si te das una vuelta por el foro de HJT nuestro por ej veras que la recomendamos bastante y con excelentes resultados ya que como su nombre lo indica esta es un Combo de varias herramientas para determinadas infecciones.

Obviamente que como cualquier programa no esta libre a que pueda fallar en algunos sistemas, esto es algo lógico y pasa hasta en los programas mas comunes de pago creado por grandes empresas que tienen gente solo para programas estos, no veo porque no podría suceder en un herramienta libre y gratuita.

-------------

En conclusión el ComboFix es una herramienta libre y gratuita para ser usada bajo la responsabilidad de cada usuario y bajo la supervisión de un experto y nuevamente te invito a que veas el trabajo que se hace con esta en el foro de HJT.



PD//Me parece perfecto que quieras contar tu caso y es lógico que si la herramienta te trajo problemas puedas estar molesta con esta, pero no me parece que tenga que ser a modo de denuncia a InfoSpyware por recomendarla ya que somos bien claros en su descripción:

En primer lugar,perdon por el retraso en responder,estaba bastante liado.

Yo no estoy diciendo a infospyware lo que tiene que hacer o no, ni estoy denunciando a este sitio. Simplemente estoy dando mi opinion (creo que, de largo, fundamentada) y advirtiendo de una serie de hechos que he podido conocer.

1-No es una herramienta publica porque no hay ningun enlace oficial ni establecido para descargarselo ni aparece en ninguna seccion de Bleepingcomputer.com. El uso y conocimiento sobre esta herramienta se desarrolla,mas bien, a un nivel informal.

2-ok.Nada que añadir.Esto es lo menos relevante de todo.

3-
Ya..pero yo estaba hablando de fallos graves como el mismo programador reconoce implicitamente.


Lo que tu llamas "algunos errores" y "circunstancias especiales" era una infeccion por rootkit.

ah,si? No me jodas que tu tambien te distes por enterado de ese "problemilla":

En iexplorer.exe infectado por rootkit (Formateado) :

"01/03/07, 01:47:29
ElPiedra
(..)
Descarga y ejecuta la herramienta ComboFix y pega un reporte para su análisis."
(...)

02/03/07, 06:29:25

CHAPICHAPI

No hay manera de ejecutar el combofix, ni en modo normal ni a prueba de fallos, sale el siguiente mensaje.

The tool, ComboFix has been temporarily withdrawn.

The author discovered a rootkit infection that will intefere with ComboFix's running.

This will cause Combofix to be UNSAFE FOR USE on your machine.
(...)

Y aqui otros tantos miembros desinformados que igualmente no se enteraron ,creando confusion en los usuarios:

Rootkit?

ayuda mi pc anda remal

No puedo hacer nada al encender el ordenador,solo me da 1 minuto

Y paso de buscar mas ejemplos del uso de esta herramienta ,como tu dices. Se supone que esto es un sitio sobre seguridad informatica y esta situaciones no se deberian de dar.


salud y un poco mas de humildad. Sin acritud.

Perdonad el Piedra e invitado por meterme donde no me llaman pero me gustaría aclarar una cosilla. Los resultados que aparecen en virus total como bien se dice en la parte inferior de la misma web no son 100% fiables. Por ello, yo no me creería demasiado eso de que el setup o ejecutable de la herramienta Combofix estuviese infectado.

Por otro lado, a la hora de ejecutar algunas de las herramientas que proporciona Infospyware como bien comenta el Piedra han de utilizarse con la ayuda de algún experto y, en el caso de hacerlo sin autorización y recomendación previa del experto o el mero hecho de hacer un mal uso de la misma, es responsabilidad de cada uno el deterioro que le produzca.


Saludos

este tipo de comentarios simplemente prefiero ni verlos, el foro habla por si solo, y los muchos de usuarios que aqui consiguen sus respuestas son la muestra de la capacidad de las personas que aqui ayudamos

al contrario personas que solo se suscriben para decir estas cosas, (y decirlas para desacreditar porque nisiquiera es una critica constructiva) y no ayudar a los usuarios con problemas dejan mucho que pensar, las acciones son mejores muestras de credibilidad que las palabras

bye,,

Hola invitad0,

Me parece perfecto que des tu opinión al respecto de esta o cualquier herramienta, justamente para eso es el foro, para que podamos debatir eh intercambiar opiniones.

Ahora porque no opine igual o porque te quiera demostrar con muchos mas fundamentos de los que tu expones, el porque estar herramienta mas haya de ese inconveniente siga siendo muy buena, no veo el porque te perece una falta de humildad


ComboFix no tiene sitio oficial ya que su programador no cuenta con uno y es un programador independiente que trabaja para la mayoría de las comunidades de seguridad informática anglosajonas.

La idea es que esta no sea descargada y usada si no es necesario hacerlo y por eso hay dos sitios de descarga pero que son ofrecidos a los usuarios si el caso lo amerita y son:


http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

Cuando su creador habla que no es una herramienta publico, significa que no esta creada para descargar y usar deliberadamente, y solo es para usar cuando es recomendada para cada caso en particular que lo amerite.


Eso ya te lo exprese arriba, y si te reconocí que efectivamente la herramienta entubo mas de un mes fuera de servicio por este problema que lógicamente era grabe y por eso se desconecto su descarga.

Durante el tiempo en que se encontró el problema y se decidió a quitar su descarga para evitar mas problemas pasa algún tiempo y en momentos se creyó corregido y se volvió a recomendar por lo que puedes encontrar si temas donde la herramienta dio problemas en el foro, pero muy pocos ya que en ese entonces todavía no teníamos el enlace en nuestra web ni la recomendábamos tanto como ahora.

Si te fijas y buscas información nuevamente veras que ese problema ya se solvento (lo que no quita que a futuro puedan suseder otros lógicamente) y que nuevamente se habilito su descarga.

Como ya lo comente ComboFix ahora esta funcionando bien y en lugar de buscar los pocos reportes de problemas con esta porque no buscas en los cientos de casos solucionados con esta.

• Se supone no, es un sitio de seguridad informática.
  
  
• Donde dice que somos perfectos y que no podemos tener errores
  
  
• Somos un sitio de personas voluntarias y no cobramos ni pedimos nada a cambio por nuestro servicio, al que le gusta y le sirve bienvenido sea, al que no, bueno no tiene mas que no visitarnos.
  
  
• Si la herramienta te dio problemas como ya te lo comente lo lamento mucho, pero no fuimos nosotros la que te la recomendamos en ningún tema directamente en este foro.
  
  
• La herramienta tiene un "Disclaimer" en su pantalla principal donde su informa que el programa es "As Is" sin garantía y bajo responsabilidad del usuario.

Por ultimo te pregunto, que intentas demostrar, probar o cual es la intención con tu post ??? ya que por lo qeu veo únicamente te registraste y sin completar la información requerida únicamente para poner esta critica

En todo caso podrías expresarle tu descontento a su creador directamente, no ?

De todas maneras si tu intención es simplemente debatir de esta no tengo ningún problema en que continuemos con el tema, pero si tu intención es simplemente decir lo que te parezca y no mirar o leer lo que te he comentado, ya para eso yo también estoy muy liado y no tengo tiempo.

Siento el retraso de nuevo en contestar.


Es lo que yo estaba diciendo,aunque yo no he dicho que su creador diga tal cosa.. Si "no esta creada para descargar y usar deliberadamente" no deberia de anunciarse públicamente fuera de ese contexto determinado de control que mencionas. Poner un aviso a este respecto, no otorga ese control y es algo contradictorio,ya que se puede bajar sin más...A mi entender, recomendarlo publicamente fuera del contexto de uso es un factor de riesgo para el usuario.


ElPiedra , yo no he leido "los cientos de casos solucionados con esta" herramienta que tú dices ,ni tu pareces haber leido con atención mis posts en ninguna de las dos ocasiones .

Ya he demostrado que AHORA no esta funcionando bien y que el mismo programador trabaja en ello. Tambien he dicho que AHORA (y al menos) me cambia por las buenas la pagina de inicio de internet explorer. ¿Tengo que repetirlo todo? ¿Y que más tengo que buscar?

Cuando busque información sobre combofix , no recuerdo haber encontrado nada llamativamente exitoso ó satisfactorio..solo errores y gente que probaba el programa..Pero bueno, yo no pretendo tener razón ni tampoco hacer un ensayo empírico..Animo a la gente a que contraste lo que yo digo y tambien a que busquen esos "cientos de casos" solucionados sin ningún genero de dudas por el combofix...Y a probar la herramienta si les apetece..Y que cada uno saque sus propia conclusiónes. Yo ya tuve mi experiencia y mis conclusiones.

No lo he mirado,pero seguramente no completase la informacion en el registro..No lo suelo hacer y creo que carece de importancia.

La intención ya la dije : poner en conocimiento una serie de hechos que conocí y contrasté...

Su creador no anuncia públicamente ni recomienda en ningún sitio la herramienta, por lo que poco se le puede reprochar..Por eso lo he puesto aquí, porque este sitio lo anuncia y lo recomienda...OBVIAMENTE. Si te caen mal las criticas, pues lo siento, esto es un sitio público..


Por mi parte zanjo aqui la polémica. Y por favor, fuera susceptibilidades, esto sólo pretende ser una crítica constructiva. La labor de la gente que invierte su tiempo libre en ayudar a los demas (este texto tambien pretende hacerlo), debe ser reconocida en justicia, pero todo el mundo cometemos errores . Yo tambien me disculpo si en algun momento me he expresado mal ó algo parecido.

saludos y gracias

Hola invitad0,

Bueno partamos de la base que justamente el día de hoy se comunico en los sectores internos del foro de su creador en TSF que ComboFix fue dado "fuera de servicio temporalmente"

Por lo que ya retiramos esta de nuestro sitio principal InfoSpyware y estoy publicando el aviso para que no sea recomendada hasta nuevo aviso mas haya de que haya sido eliminada de los links principales de descarga.

Los motivos del problema son nuevos y no son ninguno de los errores que comentaste en tus mensajes anteriores que como ya te había comentado estos habían sido resueltos y es mas si te fijas en los mismos post que publicaste se le encontró la solución tanto al problema principal del usuario como al que le dejo ComboFix luego de su paso.

Sobre la eficiencia de esta y como también ya comente podes mirar en el sector de "Temas Solucionados" que con una simple búsqueda ahí de la palabra "ComboFix" te mostrara solo 500 (ya que el buscador no muestra mas resultados)

A nosotros al menos en el foro y en los cientos de casos donde la usamos no nos genero nunca mayores problemas y si nos dio muchas soluciones.

De todas maneras cuando comente de tener contacto directo con su creador me refería a la posibilidad (como en estos momentos) de en caso de aparecer algún tipo de problema estar al tanto y poder encontrar la solución en caso de que esta genere algún problema.

Sobre las criticas si las aceptó tanto a nivel personal como del foro y siempre que estas sean constructivas y no apunten directamente a querer difamar o desmerecer el trabajo que realizamos día a día ayudando a miles de usuarios sin pedir nada a cambio.

El foro es publico hasta que su creador (ósea yo) decida que deje de serlo por lo que este es un punto relativo, no le puede gustar a todo el mundo la manera de trabajar que tenemos, pero a su vez nadie esta obligado a participar y al que no le guste no tiene mas que no visitarnos y listo.

En esto si te voy a dar la razón ya que estamos al tanto de por mas avisos que se pongan estos nunca son tenido en cuenta por los usuarios y en el caso de ComboFix es fundamental su uso bajo supervisión por lo que mas haya que este "fuera de servicio" en estos momentos, cuando se solucionen los inconvenientes y probemos nuevamente el uso seguro de esta para nuestros usuarios la recomendaremos al igual que como se hace en el resto de las comunidades, osea con el enlace directo de su descarga y no publicándola en nuestra web.

No hay problema, de mi parte también te pido disculpas si en algún momento se malinterpreto mis comentarios y desde ya que acepto las tuyas y te reitero que en el foro estamos siempre abiertos a este tipo de discusiones siempre y cuando no se entre en difamaciones hacia el trabaja que realizamos.

De mi parte doy por zanjado también el tema y lo cierro para evitar comentarios externos que nada aportan y si queres seguir debatiendo el uso de esta herramienta lo podemos volver a hacer una vez que esta se restablezca.

Salu2


-----------------------------------------



Temas relacionados:

• ComboFix - para recomendación exclusiva de los expertos del foro.
  
  
• ComboFix ahora en Español gracias a InfoSpyware.