有在帮人处理LOG的 应该满常遇到的 就是LOG里有RUN机码指向 Application Data 底下的档案 档名是由一堆没啥意义的英文单字随机组成 这个是 Adware.Lop 的辨认特色之一 感染症状是会有一堆广告跳出 最近处理的有点心得 提出来分享一下 大致上分三种 1. RUN机码指向 Application Data\A\B.exe 这种的只要把机码移除即可 档案删不删倒是其次 2. RUN机码指向 Application Data\A\B.exe 新增工作排程指向 Application Data\A\C.exe 这种的你必须把A资料夹删除 只删除B.exe不够，机码会一直重生 3. RUN机码指向 Application Data\A\B.exe 新增工作排程指向 Application Data\D\C.exe 这个最不容易发觉 因为如果你不去检查 很难发现D资料夹的存在 即使删了A资料夹 还是会一直重生 方案：目前可以侦测工作排程的软体 大致上有Autoruns、Silent Runners、Combofix、Comboscan 其中Autoruns、Silent Runners还可以读取出排程所指向的档案 帮助你移除正确的资料夹 把排程指向的资料夹、RUN机码所指向的资料夹都移除 再把排程档案删除(通常是在C:\WINDOWS\TASKS)，大致上就OK了 另外也可以使用 http://home.hetnet.nl/~stefsmeenk/deljob.exe 他会自动删除所有指向 Application Data 的排程 然後列出 Application Data 底下所有资料夹名称 搭配简单的HJT机码移除 也可以轻松解决Adware.Lop 结论：以後看到有指向Application Data的机码 要记得检查排程的部分 可能有留下後路 希望对大家有帮助 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.162.118.214