EFix会对一些平常不可能会有地方写入其他数值的登录值作无差别还原的动作 而这些地方有： 1.[hklm\software\microsoft\windows nt\currentversion\winlogon] "userinit"=x:\windows\userinit.exe, "shell"=explorer 2.[hkcu\software\microsoft\windows nt\currentversion\windows] "load"="" 上面两个地方是一定会还原成预设值的地方 注1：USERINIT那边因为有大陆人要对付机器狗然後将他故意改成对应到其他档案 并将原本的位置建立资料夹，为避免这种情形所以会先做档案检查，确定他是档案才 会还原成预设值。 注2：x:\为系统磁碟 再来是满足某一些条件之後会还原预设值的 1. [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 部分 这边会比对过白名单之後，将其底下对应的CLSID值 EX: {xxxx-xxxxxx-xxxxxxxxx-xxxx} 写入到CLSID删除清单内 然後会去寻找 [HKCR\CLSID\{xxxx-xxxxxx-xxxxxxxxx-xxxx} [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "xxxx"="{xxxx-xxxxxx-xxxxxxxxx-xxxx} [hklm\software\..\explorer\browser helper objects\{xxxx-xxxxxx-xxxxxxxxx-xxxx} 这几个地方是否有对应到的值 有就带入到删除清单内删除 2. [hklm\software\microsoft\windows nt\currentversion\windows] "appinit_dlls" 这边appinit_dlls有可能写入病毒的值，也有可能写入防毒的值。 但通常不会两者并存，就我目前从没看过... 但要怎麽辨识？ 首先这边会抓写入超过五个以上对应的dll值 EX: "appinit_dlls"="1.dll,2.dll,3.dll,4.dll,5.dll,6.dll" 像上面满足了超过五个对应的dll的值的时候 会将他还原成预设值（如果还是会有就表示有病毒让他重生） 如果是像底下这样 EX: "appinit_dlls"="1.dll,2.dll,3.dll,4.dll" 这边只有四个，那就不会去动他，需手动自己处理 另外还有一个条件 前面提到的 [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 如果他底下的CLSID值有对应到档案的话 EX: [hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{xxxx-xxxxxx-xxxxxxxxx-xxxx}"="3.dll" 而appinit_dlls的值为 [hklm\software\microsoft\windows nt\currentversion\windows] "appinit_dlls"="a.dll,b.dll,3.dll" 这样可以看出 3.dll也被写入到appinit_dlls中 那这样appinit_dlls也会还原（同样病毒没再生的话） 以上是会无差别或有条件还原登录值的地方 补充： 还有每一个启动登录值 EX: hklm\...\run hkcu\...\run 里面有伪装成系统档案名称的档案将其清除 EX: svchost.exe winlogon.exe lsass.exe csrss.exe smss.exe spoolsv.exe userinit.exe explorer.exe 大致上就是这样。 上面提到的是自动清除部分，手动部分就是和combofix一样加哪个删哪个而已 =========================================================== 这样应该算是对应行为清除了吧....所以效果会比部分工具要来的强。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.68.130.155 ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:34) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:34) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:35) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:38) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:46) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:47) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 16:48) 喔忘了在补充说明一下 这样的删除方式基本上是从4.66版开始使用的。(CLSID部分) ※ 编辑: junorn 来自: 210.68.130.155 (06/06 17:19)