因為不明原因 ComboFix在TSF的載點要移除了 以後將使用以下Mirror http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe 然後他們說有新版的Vundo 會修改執行檔 但是跟AWF不一樣 它不會留下備分 然後現在的CF可以偵測到 會自動移除被感染的EXE 所以如果你看到CF移除 C:\Program Files\Office\Word\Word.exe 之類的... 不用太驚訝... 還有一個就是之前提過的LSA 舊版的LOG會顯示 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 c:\windows\system32\vundo.dll 這樣很多人會誤以為它是REG_SZ然後沒有使用正確的語法... 以下都是錯誤的 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"="msv1_0" 或 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Authentication Packages"=- 正確的語法麻煩爬一下我之前的文... 新版會顯示 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest Notification Packages REG_MULTI_SZ scecli 降低錯誤發生的機率... ---------- 題外話 好不容易爬到G2G比較高階的位置... 卻發現那邊的討論串資訊很少... <囧 騎虎難下... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.64.151.100