2010年12月1日 星期三

EFIX 5.7 20101130.03

版本:5.7 20101130.03

檔案資訊:

MD5   : 4dcc4191a749f2e6915ecd3d0fda7360
SHA1  : 273396e2cbcdeac22c4a456ca1e276d6aca97fc0
SHA256: fb638ee241032d86495f73cc35ca7efd557fddee5193208d72f41ac063941216

測試過的作業系統:
Windows 7 x86

修改事項:
增加刪除檔案

2010年11月19日 星期五

底下那篇只是測試OPERA相容性用的

因為又看到很久沒在用的OPERA所以在裝起來使用看看
結果表現還是和以前一樣非常好

以前放棄的原因是因為在一些編輯網頁上面會有相容性問題,這個BLOG就是
所以只能放棄

不過似乎有改善了,可能再多用幾天看看

OPERA是一種瀏覽器,好處是瀏覽速度快以及內建的強大功能
可參閱官網:OPERA

同時也可使用台灣人製作的工具整合包,使用體驗會更好
請參閱:三太子計畫

TEST用

TEST 123456789
TEST 234567890


456789

2010年11月18日 星期四

EFIX 5.7 20101118.05

版本:5.7 20101118.05

檔案資訊:

MD5   : 9d6451ddda616636cd26a61254de6b06
SHA1  : 46fdd3c6af0fefcfcdd6882c53d59018b11e8ff7
SHA256: 427bd2c0e3a0cf17204186604d0047596b9d798e3402f609883954444ff26e0b

測試過的作業系統:
Windows 7 X86
Windows XP SP3

修改事項:
修正可能誤刪除CMD.EXE的問題
修改部分刪除檔案清單避開部分病毒自爆情形
增加刪除檔案 (TWKING.EXE TWKING0.DLL - TWKING9.DLL)

2010年10月16日 星期六

EFix 5.7 20101016.04

版本:5.7 20101016.04

檔案資訊:
File size : 1538337 bytes
MD5   : fcd184800feeb4d5e2cb4b75943667c3
SHA1  : c3e2a5970da5d3f30b1db9e11462aeffd602a18f

測試過的作業系統:
Windows 7 x86 旗艦版
WIndows XP SP2 SP3


修改事項:
增加當系統偵測到需要做IE部分設定值重置時會提示,按是才會動。(如果是使用自訂腳本IERESET::時就不會跳出直接重置)
增加一點刪除檔案
修改部分小錯誤

2010年10月6日 星期三

NOD32的誤判..

所以才說要對系統有一個程度的了解...

NOD32今天的更新會將WINDOWS XP的IMM32.DLL誤判為木馬
這檔不管隔離,刪除或不管他都會造成系統近乎崩潰的情形

請先行將IMM32.DLL加入到忽略清單內等NOD32病毒碼有更新之後再清除掉

好久沒碰這東西了...

最近一段時間真的是很忙
加上因為新買了手機所以重心都沒放在這邊

加上也沒有特別需要做處理的惡意程式
所以就都沒有再更新

結果今天犧牲一點中午時間看了一下原碼發現又看不懂了...0rz
太久沒碰...

不過目前是真的沒有甚麼特別需要新增的東西
可能最近會做的變動為增加一個提示
讓沒有使用自訂腳本但IE首頁要重置時跳個提示通知

不然其實不少人在首頁設置上面其實有被惡意修改但是沒有顯示出來
結果EFIX直接就給他修下去造成認為是有問題
這樣就不好了....

如果最近沒有特別比較流行的東西的話
大概就是增加這東西而已

現在也沒甚麼動力去處理這東西0rz

2010年8月31日 星期二

EFix 5.7 20100830.03

版本:5.7 20100830.03

檔案資訊:
MD5   : 2d50a2a57eacb63f09f3ed96872a5f1f
SHA1  : dc50c6085bd45f50603ac62b81d81851b3204f1b
SHA256: cc3409607bd1118f89a02f278b7c3090653c5cffb64b240fdfcc918a92f4ef8c

測試過的作業系統:
Windows XP SP3
Windows 7 x86中文旗艦版

修改事項:
增加刪除檔案

備註:
這一次本來還是沒有想要特別放上來的
不過因為看到POST病毒有變種 ( KAVO系列不知道便幾次種的變種 ),現在改名叫WOWST.EXE還有WOWST0.DLL (0-9) 的樣子 ( 沒收到樣本,但有看到報告顯示一看就知道了... )
所以就另外加到刪除清單內並且發佈.

最近時間真的少...

2010年8月11日 星期三

EFix 5.7 20100811.04

版本:5.7 20100811.04

檔案資訊:

MD5   : 36dc2fe48a5babaf1972f3333aafe93e
SHA1  : 37673010e94b09b6786a541e639bd3d5d3fc6676
SHA256: 0e296f6d18448d2c114508ef4ad70c6c2cb09443f564c8bc85e2a8c569565f89

測試過的作業系統:
Windows 7 x86
Windows XP SP2
Windows XP SP3

修改事項:
修正每次執行都會將首頁修改成GOOGLE和一定要求重開機的問題

2010年8月10日 星期二

EFIX 5.7 20100810.03

版本:5.7 20100810.03

檔案資訊:

File size: 1538270 bytes
MD5...: a6f1d0b14598c6eb2b889c3fc793a454
SHA1..: 5ee875f5d5ad8819c015f861a2625af895422721

測試過的作業系統:
Windows 7 x86 旗艦版
Windows XP SP3

修改事項:
增加一點刪除檔案
修一點報告版面
加強預設腳本處裡首頁綁架的能力
新增自訂腳本指令DEL JOBS::,用來刪除工作排程檔的

2010年8月3日 星期二

微軟重大安全性更新 KB2286198

這一篇所提到的新攻擊手法,今天微軟發出了安全性更新通知
請各位務必去更新此項安全性更新。

微軟安全性更新通告:MS10-046

請注意如果你系統是WINDOWS XP,並且是在SERVICES PARK2以前的版本
請先更新至WINDOWS XP SERVICES PARK3,現在微軟已經停止對SP3以前版本的後續支援,對於一些這種比較重大的安全性更新會比較吃虧一些.所以還沒更新的人趕快去更新吧。

2010年7月29日 星期四

[新聞] 中國變種木馬 綁架桌面捷徑

會貼這篇是因為要有看到這篇的人不要照這新聞的方式去做

首先新聞連結於此:新聞連結
這邊上面提到的先不管
這邊要注意的是後面提到的解決方式

趨勢科技也提供修復方式,網友可在「附屬應用程式」中找到「執行」,輸入「regedit」,按下「編輯-->;尋找」,輸入被綁架前往的目的網址,找到左方相對應的CLSID值;之後,再「編輯-->;尋找」,輸入CLSID值,將搜尋到的登錄值全數刪除,即大功告成。

這邊真的不知道該怎麼說...0rz
一般來說桌面上所產生的捷徑如果按右鍵沒有刪除這一個選項的話
那大多都是使用CLSID所產生出來的沒錯,那東西不是檔案

一般作法也是刪除CLSID數值沒錯,但刪除的重點並不是整個刪除...
先假設數值為
HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}\SHELL\開啟(O&)\Command
底下的數值為(預設值) REG_SZ "C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE" "http://www.綁架位置.com"


這一段是可以很明顯看到有問題
但刪除要怎麼刪?


首先先找{00000000-1111-2222-3333-000000000000}數值本身是不是正常的數值
怎麼找? GOOGLE很好用的...
假設一找下去完全沒有任何資料
那就可以直接刪除HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}這一整段
並到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊去找{00000000-1111-2222-3333-000000000000}這一個值將他刪除


那假設找到的資料是正常值呢?
現在假設改成HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


這一個{e17d4fc0-5564-11d1-83f2-00a0c90dc849}數值原本是正常的CLSID,是WINDOWS XP在使用的搜尋功能相關數值


假設照上面所說的直接將HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除後


那WINDOWS SEARCH功能馬上失效,並且會有各種可能出現的小問題產生


同樣情形如果是{1f4de370-d627-11d1-ba4f-00a0c91eedba}直接刪除
那我的電腦相關的東西都會無法開啟


那碰到這種的要怎麼辦?
這邊就是要注意CLSID數值之後的值
以上面為例


HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command


正常的系統來說{e17d4fc0-5564-11d1-83f2-00a0c90dc849}不應該帶有SHELL值的
所以刪除上面就是刪除HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL之後的值


而不是HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除


同樣的正常數值在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊也不能隨便刪除
會建議到正常電腦去比對數值,正常的有就不要刪




這樣才是比較正確的做法
不然以現在的首頁綁架方式大多都是修改正常數值的值去綁的
照這篇新聞所說的直接將整個值砍掉.


砍完是OK啦,系統也差不多掛了吧.....


---------------------------------------------------
以上如果看不懂? 那跑EFIX吧...
使用EFIX的IERESET::腳本可以清掉目前比較常見的數值修改
但除了這樣以外還要注意其他像是被修改的捷徑
捷徑關聯是否被修改
或者是另外有惡意程式監控數值反覆修改等
總之並沒有那麼簡單就是.雖然清除也不困難啦....




-----------------------------------------------------
在不懂?
那請人幫你處裡吧...這種東西沒事不要隨便亂動,不然沒備份死系統是會想哭的.

2010年7月28日 星期三

EFix 5.7 20100728.06

版本: 5.7 20100728.06

檔案資訊:

File size: 1525001 bytes
MD5...: c11202947b351f8fb5ffb55776f13910
SHA1..: 67a6dab848a8b13ef036edd3cbf6e6b93b532260

測試過的作業系統:
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項:
修正檔案關聯性列舉問題
修正APPINIT_DLLS不列舉問題
修正IERESET::腳本參數可能造成的部分CLSID遺失問題
修正SERVICE列舉SVCHOST.EXE路徑錯誤問題

2010年7月23日 星期五

為何才發布三天就說已過期?

20100720.05這一版前面有提到過自動更新有問題

問題就在偵測自動更新偵測到更新時就會顯示檔案過期...0rz
所以才會顯示已過期

0723.04這一版已修正。

EFix 5.7 20100723.04

版本:5.7 20100723.04

檔案資訊:

File size: 1619148 bytes
MD5...: def4034a372cdcf6bffe4d0ec901241b
SHA1..: 6547345225869ebb4739fed308df8aa51b52b60a

測試過的作業系統:
Windows XP SP2
Windows XP SP3
Windows 7 X86

修改事項:
修正自動更新的問題
新增刪除檔案

2010年7月22日 星期四

新的攻擊手法

目前是還沒有在台灣有看到過。

不過既然新聞稿發那麼大並且也有實際的樣本出現了
那就大概提一下

這一個攻擊手法就目前來說也有透過隨身碟
但危害度比以往的AUTORUN.INF和偽裝資料夾要危險多了

轉貼PTT KarasuTW所提供的資料


微軟正在調查一起針對 Windows 殼層弱點進行的侷限且針對性的攻擊
攻擊者利用變造的捷徑檔,令目標系統在顯示出捷徑指定的圖示的時候
執行任意程式碼,攻擊者將獲得與目前本地使用者相當的權限。


攻擊案例:在隨身碟內植入帶有惡意程式的檔案 (應該可以是任意副檔名)
然後在根目錄植入特製捷徑檔,一待使用者瀏覽此隨身碟的根目錄
顯示出該捷徑檔的圖示時,惡意程式隨即執行。
亦可利用共享資料夾進行此攻擊。


影響範圍:WinXP SP3 ~ Win7、Win 2003 SP2 ~ Win 2008 R2 均受影響

是的,就目前的所有主流Windows全部躲不過
但更危險的是他並不需要使用者點擊或透過特殊方式進行攻擊
他只要使用者有開那個惡意程式所在的資料夾並且看到圖示就直接進行攻擊

簡單說就是看到圖就中啦...
就和你走在路邊看到一隻會咬人的狗,你只是經過看到他而已結果就被他咬這樣..

目前這一篇發佈的時候微軟還沒有提供相關的安全性更新進行修正
可能再等幾天吧....

目前的暫時處理方式
同樣轉貼PTT KarasuTW所提供的資料


應變方案:
1. 停止為捷徑檔顯示指定的圖示:
將 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 預設值的資料清空
然後重開機或是重啟 explorer.exe
此選項的影響是所有捷徑都會顯示系統內建的統一圖示。



2. 停止 WebClient 服務
將 WebClient 啟動類型改為已停用,並停止 WebClient 服務運作
WebDAV 和所有明示依賴 WebClient 服務的應用程式都將無法運作。

這兩種都是暫時的解決方案
這邊EFIX不會增加項目做處理,因為這只是暫時性方案而已
只是以很多人不喜歡更新這一點來說
勢必需要做一個提示上去就是.

目前手頭上也看到樣本了,感謝AVPCLUB Upside提供
不過由於目前沒看到相關感染案例,所以並不會馬上加到清單內
等真的有碰到再說....

2010年7月20日 星期二

自動更新又寫壞了...0rz

這一次是沒寫好...我的疏忽0rz

順便說明一下好了

EFIX的自動更新機制會做三個檢查
第一個是版本更新檢查
第二個是版本過舊檢查
第三個是嚴重BUG檢查

第一個就是連網路檢查有沒有新的版本,有就下載比對,下載失敗或者是
不想要下載還可以繼續執行.

第二個和第一個的差別是,檢查到版本過舊時會跳出提示說已過期
假設不更新的話就會直接停止繼續執行不動作.

第三個是當檢查到有嚴重BUG時會馬上停止執行並自我銷毀.

到目前為止第三個是還沒有用到過.

第一和第二個這幾次改版都寫不好0rz
常常只顧東顧不到西的,加上AUTOIT改版之後的語法有變動
我到上上個星期才發現到....0rz

所以之前的自動更新功能一直出問題,當然和空間也有關.

這個以後再慢慢修正,目前還有很多需要處裡的...

EFix 5.7 20100720.05

版本:5.7 20100720.05

檔案資訊:

File size: 1621436 bytes
MD5...: e4078f310370ecbafa39fe827e3fb043
SHA1..: 44d080914bee7d151416fa69103e3e01d93b61e2

測試過的作業系統:
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項:
增加刪除檔案
加強一點首頁綁架預設處理的能力
修改小部分自動腳本結構


備註:
這兩天身體還是很不舒服...0rz
所以就不弄太多東西了.

2010年7月16日 星期五

靠么...昨天差點掛在路邊

是真的差點掛掉...0rz

昨天照慣例騎車去接女朋友的時候結果突然發生全身發麻的情形
並有呼吸困難的情形發生
後來稱到我女朋友公司的時候叫我女朋友叫計程車到了急診

結果是呼吸過度?
我自己是完全沒有任何感覺呼吸過度的情形
不過似乎是這樣...結果打了醫生開的鎮定劑之後
過沒多久就好了
不過還真的是有鎮定感...走路都東倒西歪的

這個時候會覺得有女朋友真好QQ

不過有另一半的人要注意
除了要保護自己心愛的另一半以外
自己也要多保護好自己,也要多體諒自己的另一半

昨天在急診室的時候有碰到一個年輕小妹妹出車禍
哭得很慘,除了傷痛以外也一直提到他害死她男友

因為她男友掛了.....
後來聽我女朋友說那個小妹妹似乎是要求她男朋友接她
結果他男朋友就在載她騎車時打瞌睡...結果就是摔車
後來就是這樣....

我每次去急診室真的會常常碰到這種有的沒的事情
這一次還真的是讓人覺得蠻悲哀的....

2010年7月13日 星期二

EFix 5.7 20100713.09

版本:5.7 20100713.09

檔案資訊:

File size: 1541659 bytes
MD5...: 7f1101f43b09792a4cb6e6ff8e8bb456
SHA1..: 93c43907bd083ce70cd01f6263141ea282ca0630

測試過的作業系統:
Windows 7 x86旗艦版
Windows XP SP2
Windows XP SP3

修改事項:
這個就是上一篇說的應該要放上來的版本...
新增腳本參數
ENABLE AUTORUN:: 開啟關閉的自動執行功能 ( 如果是使用EFix 5.x版關閉的話.. )
DISABLE AUTORUN:: 關閉自動執行功能 ( 使用鎖HKCU\...MOUNTPOINT2權限的方式 )
LNKFILE RESET:: 還原HKCR\LNKFILE登錄值,對應首頁綁架用的

腳本做一些微調。
新增刪除檔案

去除腳本參數EXTRA::
那真的沒甚麼用..0rz


備註:
基本上修改已經大致完成,看後續如何再決定是否要做最後的修改。

EFix 5.7 20100712.05

版本:5.7 20100712.05

檔案資訊:

File size: 1528963 bytes
MD5...: 31bde4a441f8a74dada02366bb1a4e86
SHA1..: 861e36082abfabdb01d64a52dd4c6b7306edd5e9

測試過的作業系統:
Windows XP SP3
Windows XP SP2
Windows 7 x86 (旗艦版)

修改事項:
新增第三方工具REG.EXE和PRE.EXE
前半段批次腳本做大幅更改
GUI介面有變動請注意
修正部分人匯入登錄值會失效的問題

備註:
........放錯了0rz
我似乎上傳到還沒修改完全的版本
不過原本要放的版本只有介面多一點東西而已所以沒差就算了先發佈
原本要發的版本下一次再發。

2010年7月8日 星期四

EFix 5.6 20100708.02

版本:5.6 20100708.02

檔案資訊:

File size: 1570025 bytes
MD5...: 3d11a48868b64c45ece781bcb25a866d
SHA1..: c7ef72d35492c9c2774c22d42cde9e85d63d73f5

測試過的作業系統
Windows 7 x86中文旗艦版
Windows XP SP3 中文版

修改事項:
修正因中文字元造成無法讀取啟動和桌面資料夾位置的問題
新增刪除檔案
自動更新讀取檔案時間拉長看自動更新是否能夠撐住。


備註:
還是沒改完...而且開始考慮有沒有那個需要去做大修改
因為測試過後檔案起碼增加400k...這樣光整包就快2M.
然而也只是增加了一些迴避以及避免被人看到源碼而已..這不是我的作風
所以就在考慮是否是真的要做大改嗎....?
在想看看好了.

2010年7月5日 星期一

自動更新...0rz

還是依樣老問題,GOOGLE空間也爆啦XD
三個分流都不行.....0rz

這樣也都不行那我看大概也生出不空間來做處理了...0rz
這邊會在改版將下載時間拉長看看效果如何。

EFix 5.6 20100705.04

版本: 5.6 20100705.04

檔案資訊:

File size: 1493220 bytes
MD5...: 70da900e6f08782a70ab0579ec78d797
SHA1..: 7e0dc93f7eece58173fdcd9b29478984a1745e0b

測試過的作業系統:
Windows 7 x86
Windows XP SP2
Windows XP SP3

修改事項:
修正0703版的刪除檔案列表BUG
移除第三方工具REG.EXE
新增第三方工具SWREG.EXE
修改部分批次結構.
修改GUI自動執行選項功能,原本的關閉開啟自動執行功能取消,只留微軟方案.
因為測試後不穩定因素太多所以先去除掉。


備註1:
基本上還沒改好...
不過因為0703版的BUG所以必須要先放出來沒辦法。

備註2:
SWREG這次是偷偷放上去...隨時有可能會又改回5.5版...0rz

2010年7月3日 星期六

EFix 5.5 20100703.07

版本:20100703.07

檔案資訊:

File size: 1241507 bytes
MD5...: aa619367d26d557188b72f0e75cbcfa1
SHA1..: e69eb5ccd6d614779ab02d64a693a1c28fbad1c2

測試過的作業系統
Windows 7 X86旗艦版
Windows XP SP3

修改事項:
新增刪除檔案
修改內部部分批次結構.


備註:
這一版其實是不小心放上去的...東西還沒改完
不過既然已經放了就算了先放上來也好,剛好有加到比較新一點的惡意程式.

2010年7月1日 星期四

碎碎念...最近改的真累0rz

由於發現之前會針對efix進行攻擊抵制的病毒有偷偷改版,同樣會對efix進行攻擊。
所以目前都先將重點放在迴避上面

只是改起來很辛苦....0rz
為了這個我還特別寫一個自動化的假編譯工具XD ( 用AUTOIT幫我每次打包的時候都做一些變化 )
只是後來發現似乎不只只有抓那一點東西進行攻擊
所以現在就在進行大改...
如果改好了原本的弱點會消失並且不是很好破 ( 預計啦 )
但.......真的很複雜0rz

原本寫的腳本編譯法要全部重寫..並且也要另外再包工具進去,檔案會變更大.
不過沒辦法這是趨勢,以後有機會的話我也想將SWREG放回去,不然一直靠下載很麻煩.

2010年6月25日 星期五

EFix 5.5 20100625.10

版本:5.5 20100625.10

檔案資訊:

File size: 1236547 bytes
MD5...: ffea932646f1c7d1b7f7feb385d2f358
SHA1..: d8f5633c68336b5ab362ab56cc605c3074e1f13c

測試過的作業系統
Windows XP SP2
Windows XP SP3
Windows 7 x86旗艦版

修改事項:
新增刪除檔案
修改內部部分批次結構,看是否能解決一開始可能會出現的找不到檔案$%^這一類的訊息

備註:
看起來好像改不多東西...其實改超多的0rz
像版本是2010年06月25日改,10表示我發佈測試版本發佈10次
中間修改一大堆東西....0rz
執行上是沒甚麼差別,但內部修改很多。
不過不想說太多免得被惡意程式盯上
主要會改那麼多主要是這樣改有助於版本發佈時可躲開惡意程式攻擊。

2010年6月17日 星期四

EFix 5.5 20100617.02

版本:5.5 20100617.02

檔案資訊:

MD5: 65dd9b24577cd85ee4f0140b447213b9
SHA1: fa9e145f91dfe33ad47b309ab940b21e5e6f59df
SIZE: 1,224,622

測試過的作業系統:
Windows XP SP2
Windows XP SP3
Windows 7 x86旗艦版

修改事項:
修改REBOOT::腳本重新啟動後自訂腳本登錄值匯入的順序,避開打包工具REG.EXE的BUG
增加刪除檔案

2010年6月14日 星期一

新增下載空間

咪的哩才兩天就掛了...真是有夠讚的XUITE
重新放檔案到www.multiupload.com這邊
還是免空...0rz
沒辦法。

2010年6月13日 星期日

有關空間

有人在問我為什麼程式一定堅持要放免空
不放其他人提供的學網空間或GOOGLE SITE

GOOGLE SITE其實以前有放過
還一次放三個分流,結果就是到了晚上比較多人下載的時候
就三個分流都爆...
那時候一天連線人數還不超過1000人。
現在大約是一天2000-3000人的流量
以這流量來看我看不用說晚上啦。

搞不好整天都下載不到東西...
加上現在自動更新的檔案已經放在GOOGLE平台內了
要是再放到GOOGLE那邊的話

不用說主程式了
我在處裡自訂腳本的時候也會出問題

至於學網
第一個我不是學生,就我個人原則學網是給學生用的
不是給我這種人用的
第二個是說難聽點,這東西其實還是有版權問題的....
只是目前沒有人在反應而已
要是有人因此這樣去追空間提供者提告還是幹嘛的
那不就是無謂之災?

所以很多人有提供學網空間我都拒絕了。
基本上現在的版本新的連線架構已經做好了
已經在做壓力測試
希望是能夠撐住現在一天大約3000人左右的流量....

2010年6月11日 星期五

EFix 5.5 20100611.07

版本:5.5 20100611.07

檔案資訊:

File size: 1224659 bytes
MD5   : abca0c677609478873a4a9bc597073b4
SHA1  : 7079ebfea8a8cc162223f848105a074e43aadfe6

測試過的作業系統:
Windows 7 x86旗艦版
Windows XP SP2
Windows XP SP3

修改事項:
新增刪除檔案
新增偵測WINLOGON\TASKMAN底下和AUTORUN.INF內檔案的關連,相同就會刪除
強制移除%SYSTEMDRIVE%\AUTORUN.INF資料夾
%SYSTEMDRIVE%為系統磁碟

註:
這一次放XUITE看看使用情形如何。

2010年6月10日 星期四

GFF6.EXE ?

這幾天比較常看到的是這樣

不過比較特別的是掃描報告裡面並不會看到甚麼特別異常的地方
一般描述都是描述連網路連一陣子不定時會出現
並且有可能有人會出現Generic Host Process for Win32 Services錯誤的情形

我看到第一個想到的就是MS08-067相關的東西
不過並不敢確定是否為此微軟漏洞產生或者是有0-DAY攻擊出現

然而就我觀察確實有喊中這東西的人相關的安全性更新都沒有補沒錯
並且也沒有裝任何防火牆,內建的是否有開啟就不清楚。

如果有碰到這檔案名稱的病毒者時
請先將上面提到的MS08-067漏洞先補起來,這個不管是不是正版都可以直接下載補
假設說補了還是一樣,那請將您的防火牆開啟,假設沒有裝防火牆的人,也請將WINDOWS內建的防火牆開啟並且重新設置。

這樣基本上就沒問題了。如果說沒有被打進系統的話...

----------------------------------------------------
這邊提醒各位,該裝的安全性更新還是要裝,如果真的是因為使用非正版軟體
而造成沒辦法更新的話,也請最少將MS08-067這一個裝起來。

並且善用你的防火牆,不要因為會跳提示或者是妨礙到使用就將他關閉。
那很危險的。

註:WINDOWS 7不需要安裝此更新,就目前為止WIN7也沒碰到有中這東西的。

2010年6月4日 星期五

EFix 5.5 20100604.01

版本:5.5 20100604.01

檔案資訊:

File size: 1224423 bytes
MD5...: 21eb15975f362f95c5c4d3d469c8157a
SHA1..: 5ec67fca1f5f1a7a80b5349c4b8bf792335de02d

測試過的作業系統
Windows 7 X86旗艦版
Windows XP SP3
Windows XP SP2

修改事項:
增加VISTA的白名單
增加清除部分系統檔案內文件流資訊。

2010年5月31日 星期一

EFix 5.5 20100531.04

版本:5.5 20100531.04

檔案資訊:

File size: 1224186 bytes
MD5...: fea11806150637043cbbd03c14c4a26f
SHA1..: ff3f991e7b97c47859e047c973a7f52c78f4e7b8

測試過的作業系統:
Windows 7 X86旗艦版
Windows XP SP2
Windows XP SP3

修改事項:
強化IERESET::自訂腳本的修復能力
新增自訂腳本REMOVEAUTORUN::
用來清除AUTORUN.INF資料夾
系統分析列舉新增CLSID的COMMAND掃描
並修改列舉方式.
自動更新載點變更,不使用HINET免費空間。
改用三個分流處裡看看是否能夠消化自動更新的流量

備註:
從此版起開始不支援WIN 2000了請WIN 2000使用者注意
因為前幾天給公司SERVER跑了一次,雖然沒有甚麼太大問題
但是也出現不少小問題。
在手頭上沒有2000作業系統以及Win 2000已經過了產品維護周期
所以此處也不對WIN 2000做支援了。
還請使用者見諒.

當然如果還是執意要用的話,是可以使用EFix的DEBUG模式去跑
就可以跳過檢查程序,不過不建議.

2010年5月29日 星期六

CLSID真的他X的有夠複雜...

這兩天光為了瀏覽器綁架的問題測試版的EFix不知道改了多少次版
每一次改成果都不滿意結果整段重寫...0rz
問題就在CLSID上面
太多了

結果建立白名單或黑名單都不是
同時也必須要想辦法去修復被刪除的正常CLSID數值
然而有些數值每一種作業系統所表示的值都不一樣...
手頭上有的作業系統也少
只好暫時先從自己電腦上面有的去過濾

結果就是測試發生一堆有的沒的問題0rz
沒辦法....在寫法還沒定案之前暫時先不會管其他的東西.

2010年5月18日 星期二

空間啊....0rz

剛剛發現到HINET的空間又被修改了0rz
這樣子變成自動更新會失效...

那可能就是暫時先請各位使用免空下載了。

EFix 5.5 Ver 20100518.24

版本: 5.5 20100518.24

檔案資訊:

File size: 1222215 bytes
MD5   : 2cd626d95ad2a0c798cbd08120f74856
SHA1  : e93435adcf104be2162ce144c31cc6759fd96091

測試過的作業系統:
Windows XP SP3
Windows XP SP2
Windows 7 X86 旗艦版

修改事項:
新增刪除檔案
:\Windows\System32\Post.exe相關

清除HKU\SID... ( S-1-1-12... )和HKCU\...\NAMESPACE下的CLSID數值
這兩個地方不應該有數值的.通常是假IE使用。

系統分析部分增加掃描
HKU\SID... ( S-1-1-12... ) 底下的NAMESPACE數值和HKCU\...\NAMESPACE數值

IERESET::指令做強化
增加HKCU\...\NAMESPACE和HKU\SID... ( S-1-1-12... )\NAMESPACE的權限值還原以及自動清除


備註:
1.EFTOOL原碼流失要再做修改有困難度,目前已很緩慢的進度正在重建中.
2.IERESET::指令目前雖然有作強化,但是因為沒時間測試所以只有確定他指令
是OK的,但效果如何就沒多測試,要有不能使用的情形的話麻煩跟我回報一下,感謝。
3.AUTORUN.INF一般來說大多數看到都會建立一個免疫資料夾,但是這樣反而衍生了更多,有需要加到自動移除腳本內嗎?
我個人是很想加...不過要看實際上面碰到的情形.

2010年5月13日 星期四

我哩...這下慘了0rz

本來在一些論壇有和人討論有部分多餘功能要去掉所以準備要修改代碼的時候
結果發現源碼弄丟了QQ

那只好重寫....有的改0rz

2010年4月20日 星期二

EFix 5.5 20100420.18

版本:5.5 20100420.18

檔案資訊:

File size: 1221833 bytes
MD5...: 942bc7eaa51a95a13e7459b0dfe3ce33
SHA1..: 4bf505bf297892d1a4c00feda2e6b0824f5956c9

測試過的作業系統
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項
新增刪除檔案

備註:
如果有看到刪除的檔案位置是在
:\windows\system32\eset.exe
可不要以為那是NOD32的東西,那是有問題的檔案。

2010年4月16日 星期五

EFix 5.5 20100416.17

版本:5.5 20100416.17

檔案資訊

MD5:B27868764BF0A32DB2967798A93FFC19
SHA1:D98BDFC457C93D3D4F327698838F9BE03CBDD940
SIZE:1,221,875

測試過的作業系統
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項
修正報告中顯示日期的BUG
新增刪除檔案
新增LNKFILE的檢測 ( 測試階段 )

還是一樣還有東西未完成不過沒時間...0rz

2010年4月1日 星期四

EFix 5.5 20100330.16

版本: 5.5 20100330.16

檔案資訊:

File size: 1221289 bytes
MD5   : b63efce55d226cd6b174d4b7adfdab7b
SHA1  : 5d2d2705475d5834c3c9e1dbadfec41d7d2cb05b

測試過的作業系統:
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項:
修正系統分析報告一些重複的錯誤
新增刪除檔案
增加SWREG下載的機率
增加自訂腳本指令IERESET::


備註:還有一些東西還沒加...不過沒時間0rz
所以暫時先這樣吧。

2010年3月29日 星期一

有關下載空間

這邊只能跟各位說聲抱歉

很多人其實都不清楚按了下載連結之後
所出現的下載位置

然而點了裡面的連結之後卻又有一堆有的沒的東西
基本上我也不希望冏>

不過由於最早期是使用HINET空間下載
結果卻是常常碰到因流量過高結果導致下載出問題的情形發生

一般情形就算了,頂多等晚一點再下或者是多下幾次就可以
但是由於在一些使用自訂腳本或者是內置腳本需要下載工具時
會變成下載失敗的情形,這樣會增加我這邊的流程處理難度
所以我必須要將HINET空間下載取消掉,不然流量鐵爆..

而我這邊也沒有適合的像是學術網路或者是可承受高流量也可直接下載的空間
就只好擺一般的免費空間了...

結果就是像現在這樣0rz

但我沒辦法在去生其他可以直接連結下載的空間了...
所以只好先這樣使用

不便之處還請大家多見諒.

----------------------------
至於有好心人提供給我空間使用
這邊先說聲非常感謝~ :)
不過因為第一個我很低調...光是我這邊除了下載位置以外其他沒有留任何聯絡我
的資料就知道我很低調了....
第二個我怕麻煩...
所以我也不是很希望因為空間下載問題所可能帶來的一些問題或麻煩。

所以就目前碰到好心提供給我空間的人我都婉拒了。
大致上是這樣。

2010年3月16日 星期二

EFix 5.5 20100316.08

版本:5.5 20100316.08

檔案資訊:

FILE SIZE: 1220544 BYTES
MD5...: B32057110C02B521F94B4DEAFB1D4B5A
SHA1..: D984418DB5FB68DC523E8994E00A00CE01AA1E9B

測試過的作業系統
Windows 7 x86 旗艦版
Windows XP SP3

修改事項:
增加刪除檔案
增加檢測資源回收桶、我的電腦、網路芳鄰的CLSID值 ( 測試 )
會針對惡意程式綁架首頁所修改的{871C5380-42A0-1069-A2EA-08002B30309D} CLSID值 作修復嘗試
修改類型五的部分偵測方式看能不能避免掃瞄到單行超過6萬字的檔案時發生EF擋掉的情形。
新增加偵測x64作業系統,偵測到是X64作業系統時會顯示不支援,而不是執行到一半後中斷。

註:X64 一樣還是在研究,不過要支援的機率還是不高就是...
可能最多就是讓他去偵測x86模式的程序檔案和登錄值而已,這是打包的工具限制沒辦法。

2010年3月8日 星期一

有關Windows 7 x64的支援

這兩天終於弄到x64玩了...

大致試了幾個差別。
發現想要讓目前的EFix能夠支援x64可能有一點難度....

雖然說目前測試跑的x86程式單獨跑大多都OK
原本執行到建立還原就中斷的問題是因為命令提示字符的關係
但因為目前碰到的一些差別讓我不是很敢下去測試0rz

主要問題就是在x86程式和x64程式所建立的位置問題
比如打包的pv

pv本身是x86程式
在執行的時候也只能抓到執行中的x86程式
x64的一率抓不到0rz

而reg也是x86程式
同樣的假設去抓HKLM\SOFTWARE\ABC登錄值
也會去抓取HHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ABC底下的資料

然而x86和x64一般安裝的Program Files資料夾也不同
x86的是Program Files (x86)
然而環境變數會讓x86程式執行時自動轉換到x86對應的環境下
所以在抓%ProgramFiles%環境變數資料夾內的數據,原本應該是:\Program Files資料夾
結果變成:\Program Files (x86)

這樣變成部分資料會抓不到
如果就這樣隨便貿然將資料庫加上去鐵死

所以目前基本上應該是沒機會支援x64了...

那使用x64的使用者怎麼辦?
由於我目前也無法得知有中x86惡意程式的話資料會怎麼寫入系統
所以目前也沒得處理。

還好目前看到x64使用者碰到惡意程式的機率比較低一些
大多都是一些首頁綁架問題而已,一般手動處理即可。

我這邊可能會編寫一個x64用的系統檢測工具 ( 用純AUTOIT撰寫,這樣就可以比較完整支援x64 )
但不做自動清除只做偵測,因為運作機制我還完全不懂
必須要多做研究才行...

以上是自我碎碎念
結論就是要支援x64...還早啦~

------------------------------------------------------
本來還以為改一些特殊字元的檢測就好了,一跑過之後發現完全不是那麼一回事0rz

2010年2月27日 星期六

EFix Ver 20100227.06

版本:5.5 20100227.06

檔案資訊:

File size: 1229517 bytes
MD5...: a0f766f49fce88f9cf1985caff903a97
SHA1..: 4c22a0666759f0407e43210e28036c30b6458084

測試過的作業系統
Windows 7 旗艦版

修改事項
新增加刪除檔案

註1:
同前除了新增刪除檔案以外沒修改任何東西
所以基本上其他版本的作業系統使用上應該是沒問題

註2:
最近實在沒時間去碰這東西....0rz
所以沒有特別勤的在追或者是在測試
還請有使用的人多見諒.

2010年2月20日 星期六

EFix Ver 20100220.05

版本: 20100220.05

檔案資訊:

File size: 1229378 bytes
MD5...: 293b8e34e34e5c92f2f0b8118bcaf15e
SHA1..: fc06e377ee71560ab601a6f8b797ceb0f7783add

測試過的作業系統
Windows 7 旗艦版

修改事項
增加刪除檔案,因為是kavo變種所以就只加這個.


備註:
也因為只有加刪除檔案而已所以就沒詳細測了
基本上其他作業系統大致上是OK啦。

2010年2月9日 星期二

200萬人了

瀏覽人次到200萬人了 XD

感謝各位支持
農曆年快到了助各位心想事成萬事如意

2010年2月3日 星期三

考慮是不是要換個名稱

我發現還是有很多人一直在用舊版的EFix再跑
舊到哪呢?
舊到兩年多前的版本...0rz
到底從哪找到的舊版本啊..連我都將原碼丟了.

可是因為使用者卻完全不清楚他跑的是新版本還是舊版本
所以常常出現跑了說沒效,跑有問題的情形出現.
但實際上換個新版本就可以解決了.

所以這邊有在想是不是要改個名稱了?
這樣可以和以前的版本做一個區隔,就比較不會有碰到和使用者雞同鴨講的問題存在.

現在做的有做版本控制和版本過舊時強制自我刪除控制
所以就不用太擔心改版檔案沒辦法回收的問題.

同樣的這名稱當初取的時候也沒想很多
就純粹只是因為手太長打錯字所以就算了

但後來發現和很多東西重複....0rz
像是某一個讓PC上用MAC作業系統的東西
還有相機的一個數值
還有一間和我現在公司工作的內容差不多的公司...


....只是要改啥名稱?

2010年2月1日 星期一

EFix 5.5 20100201.04

版本:5.5 20100201.04

檔案資訊:
File size: 1220067 bytes
MD5...: 85ddab6057f757e285b2ce1e3cbc29b7
SHA1..: e04f365338e6282322b213d0c944fcaba9b2da55

測試過的作業系統
Windows XP SP2 SP3
Windows 7 RC1 7100
Windows 7 RTM 7600 旗艦版 ( 感謝中毒苦主測試 )
Windows Vista SP1 ( 感謝中毒苦主測試 )

修改事項:
修正PendingRenameOperation登錄值顯示錯誤的問題
新增刪除檔案
系統分析新增找尋url捷徑
快速啟動列原本只顯示尋找lnk捷徑,現在改成全顯示.
新增檢測IE主檔案,未通過數位簽章會顯示出來.

備註:
目前用AUTOIT製作的檔案SYMANTEC會報 Suspicious.Insight
使用這廠的防毒軟體的人請注意一下.
目前有找人回報了,不過甚麼時候會改就不清楚.

2010年1月22日 星期五

微軟 KB978207 安全性更新

用IE的人請趕快更新。

這更新是修正前一陣子還蠻熱鬧的因IE漏洞導至GOOGLE被攻擊的安全性更新
由於攻擊原碼已流出,所以請務必更新

位置:
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=207eecad-6e84-48e6-ae18-6794a3618ee0

-------------------------------------------------------------------------
不過這漏洞總覺得和對岸攻擊GOOGLE有甚麼關係?
聽起來像是利用有掛使用這漏洞惡意程式的網站去取得個人資料之後
在進行偷竊個人資料...只是偷資料是偷使用GOOGLE服務相關的資料
這個不是很多都有?

不過我也不是很清楚情形就是,不管怎麼說更新出了趕快先更新吧
尤其是台灣這邊那麼多人還在用IE,加上非正版使用者多導至很多人都不更新的
這樣是很危險的.

2010年1月20日 星期三

有關EFix 5.5 GUI 修改需注意的地方

基本上因為是改用AUTOIT的關係
所以在設計上面會比較精簡一點

這邊就大概說明一下視窗的用途

首先看主頁面


界面很精簡.....說真的我個人也覺得精簡點好
不然都沒人看的懂怎麼用....雖然說現在應該也沒幾個人知道怎麼用

上面工作列主選單的選項是對應到下方那一排按鈕的
如果說按鈕不方便按的話就可以使用上方工具列處理

再來是選項部分
選項部分有兩個選項
一個是只使用系統分析
一個是開啟用延伸系統分析

只使用系統分析為當您不想要使用EFix自帶的清除腳本動作,但需要檢查系統報告時可使用此選項
這一個選項選取後按開始會直接跳過系統自帶腳本部分而進行系統分析
這樣對不太喜歡預設那爛爛的自動化腳本的人會比較方便一點

再來是啟用延伸系統分析
延伸系統分析是增加掃描以下幾個地方

1.新增/移除程式的資料
2.Windows更新資料
3.系統事件日誌

對需追蹤這些地方的人有幫助
不過...就我目前看應該是沒有人需要用到才是.

?這一個選項就是讀我資訊和連到這個BLOG

再來提到左半邊的按鈕

開始和取消就不提了,用途就是字面那個意思
而自訂腳本和之前一樣,位置換到右邊而已
比較需要提而且一般人會用到的是自動播放選項和資料夾還原選項

自動播放選項如下圖


基本上使用方式和前面幾版一樣,同樣是使用關閉MOUNTPOINT2的方式
這邊如果說在下載相關工具SWREG失敗時,按鈕會反白無法選取
而在Win7時則直接無法選取

再來是修改最多的資料夾還原選項
資料夾還原選項如下圖:


這一個視窗和前一版差別很多
現在會直接將系統所有在跟目錄位置下帶隱藏屬性的資料夾顯示出來
而顯示出來後要怎麼還原?
就是對準該項目按滑鼠右鍵
會出現還原選項,如下圖:



裡面帶有兩個選項,一個是還原屬性,一個是包含子資料夾
一般來說不建議使用包含子資料夾,除非你確定那個資料夾裡面的所有檔案都有被隱藏才使用
不然一般使用還原屬性即可
而當按下還原後,馬上就將全部屬性去除掉。
也就是說修改成即時性的.
這樣圖形化操作應該是會比較容易理解.


上述為本次版本更新GUI的修改事項
有甚麼樣的使用問題可以到PTT找我

EFix Ver 5.5 20100120.01

版本:5.5 20100120.01

檔案資訊:
File size: 1219350 bytes
MD5...: 088b24df26151ab41796e98b138fa437
SHA1..: f2cc6b6c2bd363f24abc0945af6e47f1dfbd5f31

測試過的作業系統:
Windows 7 RC1 7100
Windows XP SP2
Windows XP SP3
Windows 7 家用版 <-- 感謝中毒網友提供測試XD
Windows Vista SP1 <-- 感謝中毒網友提供測試XD

修改事項:
移除第三方工具CURL MOVEEX CRC32 MD5DEEP MSHTA FILEVER
移除SCRIPT GUI使用的相關檔案
新增檔案EFTOOL ( 使用AUTOIT製作的自製工具 )
修改GUI界面,原本使用HTML現在改用AUTOIT繪製
新增刪除檔案
新增刪除部分不安全的NAMESPACE ( 對應桌面上可能產生的一些怪異圖示清除 )
新增檢測以下資料夾並列舉捷徑 ( 不做刪除因為無法判斷使用者會不會需要用到,同樣對應捷徑首頁綁架法而做的 )
  • USER桌面
  • ALLUSER桌面
  • 快速啟動資料夾
  • 開始 -> 程式集資料夾
新增檢測部分登錄值,這邊就不列舉了
修正部分BUG。

----------------------------------------------------------------
註1:特別感謝 AVPCLUB 如夢似幻 協助測試除錯
以及巴哈姆特 wellss 提供AUTOIT相關說明文件以及資訊提供.

註2:一樣是不支援X64,沒作業系統可以測...

2010年1月17日 星期日

下載連結換空間

因為之前直接放HINET連結結果造成自訂腳本執行速度會變慢 ( 因為要花時間去下載檔案 )
所以原本的連結取消,改用免空的空間。
不便之處還請見諒

---------------------------------------------
不過就我目前觀察是沒人在乎的...XD

2010年1月9日 星期六

EFix Ver 5.3 20100109.34

版本: 5.3 20100109.34

檔案資訊:
File size: 1124303 bytes
MD5 : 72d5c737b2c032bec1d98e3fbf767373
SHA1 : 8b1506e234e83b23f5f7469530d563b82ade303f

測試過的作業系統
Windows 7 RC1
Windows XP SP2 SP3

修改事項
修正自訂腳本DEL DRIVER::指令驅動項目使用大寫會失效的問題
修改偵測EXPLORER\NAMESPACE登錄值的方式
新增數位簽章檢查失敗的檔案列舉MD5和CRC32數值

2010年1月5日 星期二

EFix Ver 5.3 20100105.31

版本: 5.3 20100105.31

檔案資訊:
File size: 1123558 bytes
MD5...: bf14af5631cc816c7e3fdd727245b3b9
SHA1..: 5b843d57783fba3a01f14a2339620bb37bc01696

測試過的作業系統:
Windows XP XP2
Windows 7 RC1

修改事項:
修改RESET REG::腳本指令無效的問題
系統分析新增加掃描桌面資料夾,程式集資料夾,快速啟動列資料夾的所有捷徑檔
並列舉參數出來,這是對應首頁綁架用的
系統分析新增掃描桌面假IE圖示對應的CLSID值
同樣是對應首頁綁架用的
增加一點刪除檔案 ( 真的只有一點... )

備註1:
目前正在著手修改部分主架構,將一些本來是使用第三方工具的軟體改用自己寫的AUTOIT主檔,不過碰到了很多問題...所以目前主力是放在那邊
5.3版的基本上除非有特別需求不然應該是不會有太頻繁的更動才是.

備註2:
數位簽章列舉MD5值來不及加上去0rz
等有空吧..

這邊特別感謝AVPCLUB的如夢似幻提供了不少樣本供測試以及除錯測試.

2010年1月1日 星期五

另外提醒首頁綁架

最近常碰到的東西是首頁綁架
不瞞各位說我自己這一台都中招了XD

甚麼時候中的不知道
今天抽空測試EFix的時候才發現首頁被修改
應該是在查資料的時候連的大陸網站中的
確實不簡單.

不過手法只是很簡單的作一個參數修改而已
沒有值入任何惡意程式
所以將參數修改回去就好了

既然連我都中了那我想就提一下這一個首頁綁架的特性好了

現在大陸那邊的綁架首頁比較流行的方式是修改幾個地方

1.將快速啟動列、桌面和程式集的INTERNET EXPLORER捷徑作一個增加參數的修改

比如像底下:



正常來說應該是這樣
然而惡意網站會將該捷徑修改成如下圖



有注意到嗎?
IEXPLORE.EXE後方多了一個網址
在該捷徑來說就是在開啓IE時直接開啓http://www.google.com.tw這個網站

利用捷徑盲點達到所謂的綁架目的
這一種的處理方式基本上就是刪除重建就好了
但要注意一點就是就目前來說所碰到的
會大多將這一個捷徑檔的刪除權限去除掉
所以在刪除檔案前要先將權限回復.

2.修改首頁登錄值後將權限修改成只能讀取登錄值不能刪除
INTERNER EXPLORER的首頁位置在
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
底下的MAIN值內
一般是修改這邊達到綁架的效果
不過這邊也會被上權限達到無法修改的效果

處理的方式
先開啓登錄編輯器移到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer登錄值中
之後選右鍵找使用權限點進去
在將EVERYONE補上去並修改成一般可讀寫權限後再去修改
怎麼修改可以爬一下我之前發的文

3.增加一個或多個CLSID值並對應到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 這一個登錄值位置對應到桌面上
像是資源回收桶這一種非捷徑的圖示都是從這邊定義

基本上這邊的值都固定那幾個
只要將增加的值刪除即可
不知道原本的值的話
可以到該值去找
只要看到是亂碼的,就刪吧XD

這邊比較複雜不是很想說太多..

目前大陸那邊比較流行的純首頁綁架方式 (就不種惡意程式純綁你首頁) 大致上是這三種方式

以上這三種請各位自己多小心
可以的話請盡量使用非IE瀏覽器連網路
可以的話最好連FIREFOX也避免...不過那不可能的事XD
FIREFOX還是有很大的優勢這沒辦法..

--------------------------------------------
另外以後的趨勢是針對adobe的相關產品做攻擊
adobe的一些東西弱點不少,請各位多加小心了.

2010年

2010年了。
祝大家新年心想事成萬事如意
病毒不要來
用不到EFix XD

-------------------------------------
2010年過年中有空檔繼續寫EFix ... 0rz
AUTOIT執行效率不太好.