Immer mehr leute nutzen CF
 

Ich finde in letzter zeit immer mehr leute die Combofix nutzen und die sind keines wegs "Kompetentzler" Ist das nun offengelegt das jeder das prog nutzen kann egal ob kompetenzler oder net? Ich bin net ma sicher ob die das jemals selbst ausgeführt haben!

Hier Beispiele:
http://www.trojaner-board.de/67446-c...tml#post401686
http://www.trojaner-board.de/67438-t...kit-agent.html
http://www.trojaner-board.de/67359-t...icht-mehr.html
http://www.trojaner-board.de/67387-t...erbung-zu.html
usw.


Wenn das so weiter geht dann :D nutz ichs eben selber

Moin :)

In den Themen welche du aufgeführt hast handelt es sich um einen "Kompetenzler" aus einem anderen Forum. ;)

Desweiteren kann jeder Mensch dieses Programm nutzen, fraglich dabei ist halt nur wenn was schief gehen sollte dabei!
z.B. könnte das gesamte System durch CF zerstört werden
Es gibt nämlich "versteckte" Backupfunktionen bei CF von denen nun nicht jeder weiß und wissen soll.

Ich hoffe das dir diese Informationen reichen. :)

Morgen Sunny
Es gibt ein unterschied zwischen Argos und Argus :)
Ich komme von http://board.protecus.de/ und http://www.nucia.nl/forum/

@Tayk
Was meinst du mit
"Ich bin net ma sicher ob die das jemals selbst ausgeführt haben"
Ich benutze kein CF auf nicht infizierte Rechner

@Tayk

weißt du denn alles über das tool? wenn nicht würd ich die finger weglassen, und das ist nicht böse gemeint. da kann so einiges in die hose gehen...

Ich dachte trotz des unterschiedlichen Vokal's bist du das... :)

Groetjes :D
Sunny

Jop die infos reichen mir :D
Aggro Berlin ist auch ein "kompetenzler"? Der hat CF auch so schön in der signatur und nutzt die Anleitung die Jon.Doe auch nutzt ursprünglich war die glaub ich bei root24

Ich habs auch net auf meinem Rechnerausgeführt aber ich habe einen meiner Virtuellen rechner mit ordentlich malware infiziert Sasser/Netsky,Mydoom,AVXP09 etc. natürlich vom inet abgetrennt! Danach hab ich CF ausgeführt und eine bereinigung damit vorgenommen :D Das hab ich für mich selbst gemacht um zu wissen wie der prozess abläuft! Des weiteren habe ich auf dem virtuellen auch einige CFscripts getestet!

Ob ich alles weiß kann ich dir nicht sagen stell mir doch ein paar fragen! Denn ich weiß nicht was man alles wissen soll! Wenn nicht wäre ich auch bereit in das tool eingewiesen zu werden! Hätte ich nichts dagegen, weil ich möchte beim support das neuaufsetzen so gut wie möglich verhindern und es nciht verursachen :D

und das ist das problem. an diesen stoff kommt man nur schwer bis gar nicht ran, trotzdem wird das tool wie wild überall benutzt...

Und dann auch noch bei Infizierungen wie -> Sasser/Netsky (Massenmailer)/Mydoom etc?
Die Datenbank von CF muss ja wirklich riesig sein.. :rolleyes: ;)

:confused:

den hab ich nicht verstanden Sunny :D

Damit Tayk zufrieden ist und nicht dauernd rummeckert, könnte er ja mal die Einweisung durchführen, so wie er schreibt, kann man raushören, dass er denkt ziemlich viel darüber zu wissen!
Derweilst werd ich nicht mehr ComboFix posten und meine Sig wurde auch geändert!

was für ne einweisung? :confused:

Naja, er hat ja immer so getan als wüsste er alles über das Tool und er kam auf die Idee mit dem Einweisen.

dann müsste, jetzt mal rein theoretisch, dass einer machen der ahnung von dem tool hat. aber um es 100% zu machen müsste er an einem ausgewählten englischen board in die ausildung gehen, dass sind die einzigen die wirklich alles über das tool wissen...

Also nur vielleicht, ich warte gerade auf eine Antwort in einem anderem Board. Jemand hat mir gesagt, dass er einen Experten gefragt hat, aber es würde dauern bis er antwortet. Den könnte man ja fragen oder darum bitten...

in welchem board?

Darf ich posten was der "Experte" gesagt hat?
Es betrifft das Backup...
Naja, nach dem Tayk keine Einweisung machen will, ziehe ich mein Angebot zurück!

Immer her mit den Infos....

Das würde mich auch mal interessieren... :rolleyes: :party:

@Aggro Berlin

Ist es die Info die ich meine?

Also zumindest von Sunny und raman kann ich behaupten, dass die das schon wissen :D

Ich möchte schon ne einweißung machen! Und behauptet das ich alles über CF weiß hab ich nicht, ich hab nur gesagt das einige bei denen ich denke das sie nicht annähernd genug über CF wissen, um mit cf arbeiten, aber sie tun es trotzdem und ich wollte wissen warum! Sollte ich jemanden zu unrecht beschuldigt haben dann sagt es!

@ Schrauber ja es sind dieselben Infos, aber eigentlich warem die Infos nicht in erster Linie für Sunny und so, weil ich denke, dass die sowieso am meisten wissen, von uns allen:D

Also hier es ist nicht besonders viel... vielleicht kann ich noch mehr rauskriegen:
Unter C:\WINDOWS\erdnt
wird ein Backup angelegt.

Dan würd mich mal interessieren, was Tayk weis. Ich warte schon gespannt auf seine Einweisung...

du weißt doch sicherlich auch mehr über cf als das,oder ?

aber ich glaub trotzdem dass das tool nur von kompetenzlern benutzt werden sollte, und von usern die namentlich durch kompetenzler benannt werden....

Was soll man von einem Scanner halten, der nicht einmal eine installierte Wiederherstellungskonsole findet?
Dateien nach ihrem Namen zu löschen ist auch nicht gerade das Mittel der Wahl zumal jeder nachlesen kann, nach was für Namen gesucht wird (aber das ist dann auch schon egal).

mag sein, hat aber nichts damit zu tun dass man die finger von dem tool lässt wenn man es nicht 100% kennt....

Wer kennt es denn 100%ig? Oder hast Du gewusst, dass da Zeilen drinstecken wie z.B.
Ohne (eigenes!) Registrybackup würde ich das Ding nicht laufen lassen.

Jetzt must du aber auch erklären was an diesem Eintrag so verhängnisvoll sein soll?!
Das unter diesem String sich Malware einnistet ist ja nun bekannt, und das dieser "harmlose" Befehl "nur" einen Neustart des Dienstes bewirkt lässt mich jetzt nicht wirklich erschaudern.

Desweiteren arbeitet jede AV-Software mit solchen "Mitteln", genauso wie die Benutzung:

Im Gegensatz zu manch anderer AV-Software welche man teuer zu erstehen hat funktioniert Combofix wenigstens so wie es die Werbung mancher Sicherheitsfirmen verspricht..

my2cent

jeder der darin ausgebildet wurde. ich ssag ja auch nix gegen die benutzung im allgemeinen. es gibt in vielen foren viele user, die das tool anwenden, und es "können".

mit können meine ich restliche malware aus dem log mittels den "gängigen" script-befehlen zu eleminieren.

jedoch habe ich schon gesehen, dass "helfer" nicht im stande sind ein hjt-log ohne hilfe der automatischen auswertung zu bewerten, dann aber wie wild mit tools wie cf oder avenger um sich werfen.

und das sind eben tools die recht gefährlich sind, deshalb lob ich mir den satz in der tb-anleitung:

Verhängnisvoll? Eher unangenehm. Wenn während des Verwendung von cf etwas schief läuft (hier z.B. Stromausfall) kannst Du danach Dein System wieder auseinaderfalten. Wenn hier nur ein Dienst neu gestartet werden soll (eigentlich macht der Befehl auch was anderes - zumindest laut Dokumentation), frage ich mich, weshalb danach sämtliche Werte auf unbrauchbaren Schrott geändert wurden (und das nicht nur an dieser Stelle). Auch ein Zurückspielen des unter erdnt gespeicherten Hives hilft da nicht immer. Aber auch ohne Crash während der Verwendung, sind nicht alle Schlüssel nicht mehr das was sie vorher waren und was wann erwartet oder haben will.

Ja, Combofix rueht ganz schoen in der Registrierung, bzw im ganzen System, aber Malware macht nichts anderes.

CF ist nun mal kein "Scanner" fuer zwischendurch....

Die ein oder andere Malware ist da etwas zurückhaltender als cf...

Wer's unbedingt braucht, soll es verwenden, aber ohne eigenes! Backup der Registry ist es schon etwas riskant.

ich höre da eine allgemeine abneigung gegen das tool. kann ja jeder so halten wie er will. ich sage ja die ganze zeit nichts anderes. nur wer es nutzen will soll es machen, aber dann bitte nur welche die es können.

Ach...man müsste mal probieren, wie groß der Aufwand ist, die rumliegenden Batchdateien nach dem Start von cf so zu verändern, dass das System nach dem Einsatz nur noch ein Haufen Binärschrott ist.

...und wissen, wie man etwaige Rohrkrepiererwieder wieder auf Vordermann bringt.

Ich hab da ziemlich viel vertrauen in CF. Es ist ja nun auch nicht so, das es einfach alle Dinge die es kann abspult. Es wird schon kontrolliert, was an Malware da ist und was gemacht werden muss. Auch nutzt CF nicht nur stumpf Datenamen zu Identifiziereung.

Es wird von sUBs sehr darauf geachtet, das keine irreparabelen Schaeden am System entstehen, sei es nun durch erunt, Systemwiederherstellung, Wiederherstellungskonsole usw.

Wie gesagt, Fehler koennen passieren und Cf hat auch, vor langer Zeit, in bestimmter Konstellation mit Malware und spezieller CF Version, den system32 Ordner komplett gekillt, bzw verschoben.

Ich wuerde es aber trotzdem bei Malwarebefall nutzen! Im Zweifelsfalle startet man es halt mit /skipfix ! Auf einem infizierten, bzw starken verdacht auf Malware verseuchten Rechner! :)

Am besten wir tragen alle Informationen zusammen oder noch besser wäre es wenn jemand eine Einweisung durchführt, ich glaube so indirkekt oder direkt hat es Tayk angedeutet.

Das kannst du aber vergessen solange sUBs das nicht genehmigt.....

Wer jemand nicht will, dass man sich die Sache genauer anschaut, darf er es nicht in diser Form auf der Platte ablegen.
Zudem sollte es auch im Sinne des Autors sein, dass die Anwender wissen wie der Hase läuft. Sonst wird am Ende eine Fehlbedienung als Programmfehler ausgelegt.

Eigentlich dürfen/sollen auch nur eingewiesene user das Tool nutzen.
Und nicht jeder user/jedes Forum darf diese einweisung bekommen.....

Nein, auch wenn sich sicherlich der offene Code irgendwo im Netz finden läßt, werden wir hier niemanden der außerhalb "unseres" Kompetenzbereiches ist im Bezug auf CF einweisen.
Die goldene Regel besteht nunmal schon immer und wird auch nicht gebrochen.
Wir wissen, so wie es schrauber auch schon schrieb, wie wir die Scriptbefehle einsetzen können und was dahinter steckt, aber wenn sich nun ein jedermann damit übt geht das irgendwann in die Hose.
(z.B. Systemdateien aus Unwissenheit löschen / ähnlich wie Hijacklogeinträge fixen)

Sollte mal etwas schief gehen mit CF haben wir direkte Ansprechpartner die an der Enstehung von CF mitgewirkt/mitwirken haben.
Oder weißt du @Aggro in welchen Foren bzw. welche Ansprechpartner es gibt beim Thema CF?
Jetzt sag bitte nicht sUBs.... :blabla:

@ Sunny

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

ganz unten stehen eine Liste von Foren, an die man sich wenden kann.

@Aggro Berlin

dann schau doch mal an diesen deutschen foren, wer da so arbeitet :D

und du musst unterscheiden zwischen ausgewählten foren, die die infos aus erster hand bekommen und an denen cf offiziell geschult wird, und hilfe im einzelfall, auch aus erster reihe, die aber mehr inoffiziell läuft.

und selbst diese "inoffizielle" bekommen nur ausgewählte leute. deswegen verwundert es mich wer alles cf benutzt....