2009年7月30日 星期四

還原系統到EFix執行前的用法

這兩天有看一下,似乎有些人執行時還是有些問題.
雖然說不見得是EFix造成的,但我想一般都會以結果論來看吧.

這邊先提一個重點,在您執行EFix要清惡意程式的同時請不要忘記了,惡意程式他正在執行...
天曉得這惡意程式會有甚麼樣子的動作.

像之前所碰到的每個月3號和18還28號刪D,E槽全磁碟資料的惡作劇惡意程式他就是這樣幹.
當中這東西到了每個月3號的時候,就開始刪除D槽E槽的所有資料
刪除完之後再建立一個autorun.inf檔案以及,.exe檔案
此時D槽E槽就只剩下這兩個檔案...
而其中,.exe被刪除之後在使用者要開啟D槽或E槽的時候
就會出現磁碟點不開的情形,因為autorun.inf找不到所需要執行的檔案
所以使用者就會開始找軟體想辦法解決,而找到這裡或者是其他的一些清除軟體
然而執行完畢後autorun.inf刪除了,但使用者一開啟了D槽或E槽後發現
奇怪怎麼我的資料全部被刪光了?

而這時就會產生幾種情形.

1.使用者認為病毒砍了他全磁碟資料找復原軟體 (O)
2.使用者不知道發生甚麼情形以為他自己幹了啥事刪了全磁碟資料 (X)
3.使用者認為是EFix或者是清除軟體刪了他全磁碟資料 (X)
4. .......直接罵聲幹作清除軟體的人不得好死這一類的...

但前面病毒流程我已經說明了,而在這病毒剛出現的時候
很多人跟我反應為何執行了EFix之後發現他D槽或E槽資料都不見了?
有人還說小心路上不要被他碰到等等的...

連部分的解毒老手一開始也沒辦法得知這惡意程式的動作進而跟我反應說會刪除全磁碟資料
後來找到一個協助者取得了樣本後才知道原來那病毒會這樣幹...

那一段時間黑鍋可真的是背很大0rz
這是往事....就不管他了.

這邊提重點

如果說你覺得執行EFix後的結果讓你不滿意或者是覺得反而問題更多的話
您可以使用EFix裡面所建立的幾個還原方式去還原到執行EFix之前的狀態.

總共是以下兩種方式:

1.Windows內建的系統還原
首先如果你是第一次執行的話,假設你系統中的系統還原有開啟並且能夠正常動作
此時EFix會建立一個系統還原點,在當天第二次執行之後就不會建立了.除非又隔一天
而系統還原要怎麼使用?

按開始 -> 程式集 -> 附屬應用程式 -> 系統工具 -> 系統還原
點下去之後他就會有相關的還原選項讓您選擇
此時請注意EFix還原點名稱為EFix Created Point
如果只是要回復到執行EFix前的狀態,就請找這一項還原即可


2.登錄值備份和檔案備份

基本上檔案備份就看最後產生的報告為主
EX:
EF刪除的檔案備份位置列表:

C:\Windows\System32\kavo.exe => C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir

像這樣你就可以去找
C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir這檔案
將他複製到c:\windows\system32資料夾後,再將後面的副檔名.vir去掉
這樣檔案就回去了

而登錄值呢?

登錄值的話請你找C:\ef_backup\reg\erunt這一個資料夾
裡面有一個程式叫作erdnt
在執行他之後他會跳出視窗
請全部打勾之後在按下OK,該程式會要求您重開機
重開機之後登錄值就還原到最後一次執行EFix之前的狀態

以上這兩種方式為EFix對系統檔案的備份方式.
程式本身雖然在我這以及我周圍的電腦上面測試過都沒有太大的問題
但我並不能保證每一台電腦在執行上都不會有任何狀況,畢竟這變數太大
所以作這兩個還原方式讓系統有機會能夠還原到執行前的狀態.

只是現在的病毒....請自己多小心吧.
資料該作好備份和系統安全的部分就多加留意

2009年7月29日 星期三

EFix Ver 5.2 2009072840

版本:5.2 20090728.40

測試過的作業系統:
Windows XP SP3
Windows Vista
Windows 7 RC 7100

檔案資訊:
File size: 905913 bytes
MD5 : 51e4d5c4f9aa2fa5d11b00959c0430a1
SHA1 : 978c521a5b1770b51284fc9ed783885435c40330

修改事項:
修正移除腳本如果有swxcacls檔案會機率性產生死循環的問題.
修改services.vbs的讀取方式.

2009年7月24日 星期五

EFix Ver 5.2 20090724.39

版本:5.2 20090724.39

檔案資訊:
File size: 905988 bytes
MD5...: 82650519d98ca2ea758ef50a19684628
SHA1..: 7be43e76c36f13156235b1f4700b4cfe83ca584a

測試過的作業系統:
Windows XP SP3
Windows Vista
Windows 7 RC1 7100

修改事項:
去掉刪除mdm.exe
介面作一點修改.

其他:
空間越來越慘了0rz

2009年7月23日 星期四

夭壽...

寫這類腳本軟體還真的要特別小心...

以前犯的錯誤結果到現在都還有在流傳0rz

也不過就放上來兩天而已..

這邊一樣特別提醒
如果您手邊有EFix檔案名稱叫做EFix.exe的,請務必將他刪掉
那是有問題的版本.
W2K如果你有先執行新版本在執行可能還沒事,因為新版有對那一個超舊版作一個檔案補充避免執行後出問題
但如果你是直接執行EFix.exe的話,會有一定機率刪除掉系統磁碟內所有資料.

這問題我一發現之後馬上就將檔案刪除並整個重寫,現在是不會有這種情形了.
但那時流出去的檔案我並沒有辦法回收,所以我這邊也只能呼籲
千萬不要再用EFix.exe 這一個檔案名稱的EFix去修復您的系統
除了現在沒辦法應對新變種的惡意程式了.還有機會造成你系統資料遺失

2009年7月16日 星期四

EFix Ver 5.2 20090716.38

版本: 5.2 20090716.38

檔案資訊:
File size: 906090 bytes
MD5...: 00093bb5ba5822971f2f68188ce5526b
SHA1..: 4d4526b62a93ee40bf5c65cf466583149af0668b

測試過的作業系統:
Windows XP SP3
Windows Vista Homebasic
Windows 7 RC 7100

修改事項:
修正檢測執行中程序時碰到:中斷的問題
增加安全性更新KB961371和KB973346的檢查.沒有更新會列舉出來
修改建立系統還原執行方式,以前是每一次執行都會建立一次,這次改過是只有當天的第一次執行EFix才會建立,之後當天就不建立了節省磁碟空間.

2009年7月10日 星期五

EFix Ver 5.2 20090710.36

版本:5.2 20090710.36

檔案資訊:
File size: 906002 bytes
MD5...: d5de47893d567c4f0d1ec36a00be7367
SHA1..: dec8291f0cb1ab021c304b9e031182c342f376eb

測試過的環境:
Windows XP SP3
Windows Vista
Windows 7 RC 7100

修改資訊:
........忘記了0rz
只記得一個是修改文字資訊而已
還有一個是修改掃描報告中的執行中程序列舉增加微軟數位簽章檢查
有過會顯示"Verified"

2009年7月7日 星期二

EFix Ver 5.2 20090707.35

版本:5.2 20090707.35

檔案資訊:
File size: 906443 bytes
MD5...: c7f438a3620378732b0ff4e3f5d65b38
SHA1..: 094a58d6fc843a1497d32cedfd5ac11c44dbfa41

修改事項:
修正一些無關緊要的錯誤
增加之前批次大修改忘記加進去的東西.


補充:
這一次有測試Vista HomeBasic可以正常使用
Win2000找不到機器測..不過應該也是ok.

2009年7月3日 星期五

EFix Ver 5.2 20090703.31

版本:5.2 20090703.31

檔案資訊:
File size: 906280 bytes
MD5...: 5268b5b7ad3edd8f0913700d0707ee15
SHA1..: 48bd957bfdd38f930e9e7b53c797c21d5d445237

修改事項:
恩......沒改什麼東西就是Script GUI介面做個修改
還有修改建立系統還原時的vbs設置最大執行時間
超過就關閉了,因為好像有人會執行到那邊就當掉的樣子


補充:
Vista和Windows 2000還是沒機會測試
雖然說應該執行是沒有問題啦...

2009年7月1日 星期三

EFix Ver 5.2 20090701.28

版本:5.2 20090701.28

檔案資訊:
File size: 915762 bytes
MD5...: 6e18e9a0b717c2b9e06e60a506f419ec
SHA1..: 3d97e1e7111f4894acf52600de8738008c32b8e7

修改事項:
修正與舊版程式殘留物衝突造成執行中斷的問題

EFix Ver 5.2 20090701.27

版本:5.2 20090701.27

檔案資訊:
File size: 906091 bytes
MD5...: 7e4e3cf188d34d6b6428ca279de6f2e4
SHA1..: 8847b241f39772a102b8bf86d6c8fa6b31fdbb20


修改事項:
開放關閉自動執行 (Autorun)(註) 選項和還原被病毒隱藏的資料夾選項
修改部份程式碼錯誤的地方
增加一點刪除檔案
其餘忘了0rz 有修改不少東西就是。


註: 關閉Autorun功能網路必須要有連線,選取後會將登錄值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
的使用者權限關閉,利用關閉權限達到關閉Autorun的效果.
但沒有連線或下載檔案失敗就不會有任何動作請注意

另外此功能目前只有Windows XP和Windows 2000可使用,vista和win7 rc不支援

最後是關閉自動執行這功能還在測試,有需要的話再使用.