因为不明原因 ComboFix在TSF的载点要移除了 以後将使用以下Mirror http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe 然後他们说有新版的Vundo 会修改执行档 但是跟AWF不一样 它不会留下备分 然後现在的CF可以侦测到 会自动移除被感染的EXE 所以如果你看到CF移除 C:\Program Files\Office\Word\Word.exe 之类的... 不用太惊讶... 还有一个就是之前提过的LSA 旧版的LOG会显示 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 c:\windows\system32\vundo.dll 这样很多人会误以为它是REG_SZ然後没有使用正确的语法... 以下都是错误的 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"="msv1_0" 或 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=- 正确的语法麻烦爬一下我之前的文... 新版会显示 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest Notification Packages REG_MULTI_SZ scecli 降低错误发生的机率... ---------- 题外话 好不容易爬到G2G比较高阶的位置... 却发现那边的讨论串资讯很少... <囧 骑虎难下... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.64.151.100