那个是拿来对付Vundo的 不可以乱用 -,- 之前有说过有一种Vundo会替换档案 而且不留下备份 替换过的档案会多个空白字元 例如： explorer.exe → explorer .exe 最早sUBs是写了个RenV.exe来搜寻被覆盖的档案 然後再修复 後来整合进CFScript 就是Junorn看到的RENV:: 如果发现使用者电脑有中这个版本的Vundo 先下载执行 http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe 它会产生一份LOG 列出硬碟中所有含空白字元的执行档 它大概长这样 http://tinyurl.com/2n26zo 档案列表中　并不是每个档案都是合法的(我举的例子刚好都是合法的档案...) 如果你发现它列出了 C:\WINDOWS\SYYTTR .EXE 这很明显是VUNDO主程式... 那你必须要求使用者把LOG.TXT中这行删除 然後存档 再把LOG.TXT拖曳到RENV.EXE图示上(跟执行CFScript类似) 这时候RenV会把被感染的EXE还原修复 所以如果没有把C:\WINDOWS\SYYTTR .EXE这行删除 会越用越复杂... 当然你也可以列出要修复的档案 放在RENV::底下 大概就是这样... 还有小弟要考研究所了 -,- 书都快念不完了 忙的乱喷 完全没空看LOG之类的东西... 所以如果有相关CF的问题...可以直接寄信问我...不然可能会被我忽略.... 大家努力回文吧 -.- --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.64.225.204