最近越來越常用Combofix這程式，有些板友對它有疑問 我就我所知道的說明一下 Combofix是由國外網友sUBs所撰寫的程式，原本的用途是拿來清除一些特定惡意程式 原理大致上就是整合了修復手續 讓你一鍵修復 當然 它修的機碼很多都是HJT看不到的 所使用的手段也是比較特殊的 sUBs是很專業的惡意程式清除者，她大部分時間都在「觀察」其他高手處理 很榮幸的 她發現咱們的同胞 阿共 撰寫惡意程式的功力越來越高 讓它有想挑戰的慾望 就開始著手蒐集相關資料 在今年10月推出第一版專門清除阿共惡意程式的Combofix 之後陸陸續續的更新 讓這個程式越來越完善 其實說穿了 Combofix跟360性質有點類似 但是360要安裝 我不是很喜歡 = = 用Combofix掃出的LOG 大致上分以下幾部分 Other Deletions Combofix幫你刪掉的問題檔案 不用擔心他刪錯 因為這些都是經驗累積出來的... Files Created from XXX to XXX 近一個月來 電腦新增的檔案 當然它不會全部紀錄 它只紀錄有可能有感染能力的檔案 Find3M Report 找出近三個月來 修改過的檔案 同樣的 它只紀錄有可能有感染能力的檔案 Reg Loading Points 一些機碼 包含了HJT不會去偵測的部分 所以這部分頗重要 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 建議： 當板友看自己的機碼，發現有大陸軟體的「痕跡」，都可以執行看看 很多時候，有很多問題檔案，或是問題驅動，HJT看不出來，甚至連SRENG等都會被矇蔽 這種經驗累積出來的軟體 可靠度絕對沒問題 它不會去清「可疑」的東西 另外 很多時候會發現HJT有無法修復的機碼 或是有刪不掉的檔案 往往都是因為有驅動在搞鬼 很多驅動甚至寫到安全模式的模組 讓你很難去動它 要慢慢修 可以 但是過程絕對是驚天動地 最近比較紅的 像PCTOOLS.DLL VISION 3721 CDNNS基本上都是驅動級的 你很難去動它 就算你僥倖把檔案刪了 通常都會有剩餘的驅動在執行 伺機而動 大約11月初吧 有個aelupsvc32.dll頗熱門 它會寫入一個驅動wsfit32 這個驅動...你用HJT.SRENG.AUTORUNS都看不到...就會發生永遠修不完的窘境 當然 sUBs他們會知道 是因為它們都曾經遇過類似的case 花了很多時間 才找出原因 下載網址 http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe 執行過程中請完全不要動電腦 另外 如果你電腦登入名稱是中文 可能會執行錯誤 sUBs正在對這點作修復了 加油! --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.230.182.88