最近越来越常用Combofix这程式，有些板友对它有疑问 我就我所知道的说明一下 Combofix是由国外网友sUBs所撰写的程式，原本的用途是拿来清除一些特定恶意程式 原理大致上就是整合了修复手续 让你一键修复 当然 它修的机码很多都是HJT看不到的 所使用的手段也是比较特殊的 sUBs是很专业的恶意程式清除者，她大部分时间都在「观察」其他高手处理 很荣幸的 她发现咱们的同胞 阿共 撰写恶意程式的功力越来越高 让它有想挑战的慾望 就开始着手蒐集相关资料 在今年10月推出第一版专门清除阿共恶意程式的Combofix 之後陆陆续续的更新 让这个程式越来越完善 其实说穿了 Combofix跟360性质有点类似 但是360要安装 我不是很喜欢 = = 用Combofix扫出的LOG 大致上分以下几部分 Other Deletions Combofix帮你删掉的问题档案 不用担心他删错 因为这些都是经验累积出来的... Files Created from XXX to XXX 近一个月来 电脑新增的档案 当然它不会全部纪录 它只纪录有可能有感染能力的档案 Find3M Report 找出近三个月来 修改过的档案 同样的 它只纪录有可能有感染能力的档案 Reg Loading Points 一些机码 包含了HJT不会去侦测的部分 所以这部分颇重要 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 建议： 当板友看自己的机码，发现有大陆软体的「痕迹」，都可以执行看看 很多时候，有很多问题档案，或是问题驱动，HJT看不出来，甚至连SRENG等都会被蒙蔽 这种经验累积出来的软体 可靠度绝对没问题 它不会去清「可疑」的东西 另外 很多时候会发现HJT有无法修复的机码 或是有删不掉的档案 往往都是因为有驱动在搞鬼 很多驱动甚至写到安全模式的模组 让你很难去动它 要慢慢修 可以 但是过程绝对是惊天动地 最近比较红的 像PCTOOLS.DLL VISION 3721 CDNNS基本上都是驱动级的 你很难去动它 就算你侥幸把档案删了 通常都会有剩余的驱动在执行 伺机而动 大约11月初吧 有个aelupsvc32.dll颇热门 它会写入一个驱动wsfit32 这个驱动...你用HJT.SRENG.AUTORUNS都看不到...就会发生永远修不完的窘境 当然 sUBs他们会知道 是因为它们都曾经遇过类似的case 花了很多时间 才找出原因 下载网址 http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe 执行过程中请完全不要动电脑 另外 如果你电脑登入名称是中文 可能会执行错误 sUBs正在对这点作修复了 加油! --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.230.182.88