那個是拿來對付Vundo的 不可以亂用 -,- 之前有說過有一種Vundo會替換檔案 而且不留下備份 替換過的檔案會多個空白字元 例如： explorer.exe → explorer .exe 最早sUBs是寫了個RenV.exe來搜尋被覆蓋的檔案 然後再修復 後來整合進CFScript 就是Junorn看到的RENV:: 如果發現使用者電腦有中這個版本的Vundo 先下載執行 http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe 它會產生一份LOG 列出硬碟中所有含空白字元的執行檔 它大概長這樣 http://tinyurl.com/2n26zo 檔案列表中　並不是每個檔案都是合法的(我舉的例子剛好都是合法的檔案...) 如果你發現它列出了 C:\WINDOWS\SYYTTR .EXE 這很明顯是VUNDO主程式... 那妳必須要求使用者把LOG.TXT中這行刪除 然後存檔 再把LOG.TXT拖曳到RENV.EXE圖示上(跟執行CFScript類似) 這時候RenV會把被感染的EXE還原修復 所以如果沒有把C:\WINDOWS\SYYTTR .EXE這行刪除 會越用越複雜... 當然你也可以列出要修復的檔案 放在RENV::底下 大概就是這樣... 還有小弟要考研究所了 -,- 書都快唸不完了 忙的亂噴 完全沒空看LOG之類的東西... 所以如果有相關CF的問題...可以直接寄信問我...不然可能會被我忽略.... 大家努力回文吧 -.- --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.64.225.204