EFix 台灣較常見惡意程式清除工具.

EFIX 5.7 20110122.01

2011-01-22T08:31:00.000+08:00

版本：5.7 20110122.01

檔案資訊：
File size : 1538547 bytes

MD5 : 8598ed99661c3cb8634da209a1982951
SHA1 : 83ae4f1293add158ef76c5f08dfad385d97ade85
SHA256: 21bf6bd955101bc6f7fab9031e2ab1aa7891989659436a6b16754e4da2a7bf6f

測試過的作業系統：
Windows XP SP3

修改事項：
增加刪除檔案

好久沒碰了...突然覺得做這東西好像沒收益就沒動力想去做0rz
果然還是年紀大了...
不過這個是不可能收費的就是。

EFIX 5.7 20101130.03

2010-12-01T12:04:00.000+08:00

版本：5.7 20101130.03

檔案資訊：

MD5 : 4dcc4191a749f2e6915ecd3d0fda7360
SHA1 : 273396e2cbcdeac22c4a456ca1e276d6aca97fc0
SHA256: fb638ee241032d86495f73cc35ca7efd557fddee5193208d72f41ac063941216

測試過的作業系統：
Windows 7 x86

修改事項：
增加刪除檔案

底下那篇只是測試OPERA相容性用的

2010-11-19T11:29:00.000+08:00

因為又看到很久沒在用的OPERA所以在裝起來使用看看
結果表現還是和以前一樣非常好

以前放棄的原因是因為在一些編輯網頁上面會有相容性問題，這個BLOG就是
所以只能放棄

不過似乎有改善了，可能再多用幾天看看

OPERA是一種瀏覽器，好處是瀏覽速度快以及內建的強大功能
可參閱官網：OPERA

同時也可使用台灣人製作的工具整合包，使用體驗會更好
請參閱：三太子計畫

TEST用

2010-11-19T10:53:00.000+08:00

TEST 123456789
TEST 234567890

456789

EFIX 5.7 20101118.05

2010-11-18T15:06:00.000+08:00

版本：5.7 20101118.05

檔案資訊：

MD5 : 9d6451ddda616636cd26a61254de6b06
SHA1 : 46fdd3c6af0fefcfcdd6882c53d59018b11e8ff7
SHA256: 427bd2c0e3a0cf17204186604d0047596b9d798e3402f609883954444ff26e0b

測試過的作業系統：
Windows 7 X86
Windows XP SP3

修改事項：
修正可能誤刪除CMD.EXE的問題
修改部分刪除檔案清單避開部分病毒自爆情形
增加刪除檔案 (TWKING.EXE TWKING0.DLL - TWKING9.DLL)

EFix 5.7 20101016.04

2010-10-16T12:23:00.000+08:00

版本：5.7 20101016.04

檔案資訊：
File size : 1538337 bytes
MD5 : fcd184800feeb4d5e2cb4b75943667c3
SHA1 : c3e2a5970da5d3f30b1db9e11462aeffd602a18f

測試過的作業系統：
Windows 7 x86 旗艦版
WIndows XP SP2 SP3

修改事項：
增加當系統偵測到需要做IE部分設定值重置時會提示，按是才會動。(如果是使用自訂腳本IERESET::時就不會跳出直接重置)
增加一點刪除檔案
修改部分小錯誤

NOD32的誤判..

2010-10-06T23:24:00.000+08:00

所以才說要對系統有一個程度的了解...

NOD32今天的更新會將WINDOWS XP的IMM32.DLL誤判為木馬
這檔不管隔離，刪除或不管他都會造成系統近乎崩潰的情形

請先行將IMM32.DLL加入到忽略清單內等NOD32病毒碼有更新之後再清除掉

好久沒碰這東西了...

2010-10-06T01:00:00.000+08:00

最近一段時間真的是很忙
加上因為新買了手機所以重心都沒放在這邊

加上也沒有特別需要做處理的惡意程式
所以就都沒有再更新

結果今天犧牲一點中午時間看了一下原碼發現又看不懂了...0rz
太久沒碰...

不過目前是真的沒有甚麼特別需要新增的東西
可能最近會做的變動為增加一個提示
讓沒有使用自訂腳本但IE首頁要重置時跳個提示通知

不然其實不少人在首頁設置上面其實有被惡意修改但是沒有顯示出來
結果EFIX直接就給他修下去造成認為是有問題
這樣就不好了....

如果最近沒有特別比較流行的東西的話
大概就是增加這東西而已

現在也沒甚麼動力去處理這東西0rz

EFix 5.7 20100830.03

2010-08-31T00:16:00.001+08:00

版本：5.7 20100830.03

檔案資訊：
MD5 : 2d50a2a57eacb63f09f3ed96872a5f1f
SHA1 : dc50c6085bd45f50603ac62b81d81851b3204f1b
SHA256: cc3409607bd1118f89a02f278b7c3090653c5cffb64b240fdfcc918a92f4ef8c

測試過的作業系統：
Windows XP SP3
Windows 7 x86中文旗艦版

修改事項：
增加刪除檔案

備註：
這一次本來還是沒有想要特別放上來的
不過因為看到POST病毒有變種 ( KAVO系列不知道便幾次種的變種 )，現在改名叫WOWST.EXE還有WOWST0.DLL (0-9) 的樣子 ( 沒收到樣本，但有看到報告顯示一看就知道了... )
所以就另外加到刪除清單內並且發佈.

最近時間真的少...

EFix 5.7 20100811.04

2010-08-11T20:03:00.000+08:00

版本：5.7 20100811.04

檔案資訊：

MD5 : 36dc2fe48a5babaf1972f3333aafe93e
SHA1 : 37673010e94b09b6786a541e639bd3d5d3fc6676
SHA256: 0e296f6d18448d2c114508ef4ad70c6c2cb09443f564c8bc85e2a8c569565f89

測試過的作業系統：
Windows 7 x86
Windows XP SP2
Windows XP SP3

修改事項：
修正每次執行都會將首頁修改成GOOGLE和一定要求重開機的問題

EFIX 5.7 20100810.03

2010-08-10T14:20:00.000+08:00

版本：5.7 20100810.03

檔案資訊：

File size: 1538270 bytes
MD5...: a6f1d0b14598c6eb2b889c3fc793a454
SHA1..: 5ee875f5d5ad8819c015f861a2625af895422721

測試過的作業系統：
Windows 7 x86 旗艦版
Windows XP SP3

修改事項：
增加一點刪除檔案
修一點報告版面
加強預設腳本處裡首頁綁架的能力
新增自訂腳本指令DEL JOBS::，用來刪除工作排程檔的

微軟重大安全性更新 KB2286198

2010-08-03T10:31:00.000+08:00

在這一篇所提到的新攻擊手法，今天微軟發出了安全性更新通知

請各位務必去更新此項安全性更新。

微軟安全性更新通告：MS10-046

請注意如果你系統是WINDOWS XP，並且是在SERVICES PARK2以前的版本
請先更新至WINDOWS XP SERVICES PARK3，現在微軟已經停止對SP3以前版本的後續支援，對於一些這種比較重大的安全性更新會比較吃虧一些.所以還沒更新的人趕快去更新吧。

[新聞] 中國變種木馬綁架桌面捷徑

2010-07-29T15:03:00.000+08:00

會貼這篇是因為要有看到這篇的人不要照這新聞的方式去做

首先新聞連結於此：新聞連結
這邊上面提到的先不管
這邊要注意的是後面提到的解決方式

趨勢科技也提供修復方式，網友可在「附屬應用程式」中找到「執行」，輸入「regedit」，按下「編輯-->;尋找」，輸入被綁架前往的目的網址，找到左方相對應的CLSID值；之後，再「編輯-->;尋找」，輸入CLSID值，將搜尋到的登錄值全數刪除，即大功告成。

這邊真的不知道該怎麼說...0rz
一般來說桌面上所產生的捷徑如果按右鍵沒有刪除這一個選項的話
那大多都是使用CLSID所產生出來的沒錯，那東西不是檔案

一般作法也是刪除CLSID數值沒錯，但刪除的重點並不是整個刪除...
先假設數值為
HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}\SHELL\開啟(O&)\Command
底下的數值為(預設值) REG_SZ "C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE" "http://www.綁架位置.com"

這一段是可以很明顯看到有問題
但刪除要怎麼刪？

首先先找{00000000-1111-2222-3333-000000000000}數值本身是不是正常的數值
怎麼找？ GOOGLE很好用的...
假設一找下去完全沒有任何資料
那就可以直接刪除HKEY_CLASSES_ROOT\CLSID\{00000000-1111-2222-3333-000000000000}這一整段
並到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊去找{00000000-1111-2222-3333-000000000000}這一個值將他刪除

那假設找到的資料是正常值呢？
現在假設改成HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command

這一個{e17d4fc0-5564-11d1-83f2-00a0c90dc849}數值原本是正常的CLSID，是WINDOWS XP在使用的搜尋功能相關數值

假設照上面所說的直接將HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除後

那WINDOWS SEARCH功能馬上失效，並且會有各種可能出現的小問題產生

同樣情形如果是{1f4de370-d627-11d1-ba4f-00a0c91eedba}直接刪除
那我的電腦相關的東西都會無法開啟

那碰到這種的要怎麼辦？
這邊就是要注意CLSID數值之後的值
以上面為例

HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL\開啟(O&)\Command

正常的系統來說{e17d4fc0-5564-11d1-83f2-00a0c90dc849}不應該帶有SHELL值的
所以刪除上面就是刪除HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\SHELL之後的值

而不是HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}整段刪除

同樣的正常數值在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace這邊也不能隨便刪除
會建議到正常電腦去比對數值，正常的有就不要刪

這樣才是比較正確的做法
不然以現在的首頁綁架方式大多都是修改正常數值的值去綁的
照這篇新聞所說的直接將整個值砍掉.

砍完是OK啦，系統也差不多掛了吧.....

---------------------------------------------------
以上如果看不懂？那跑EFIX吧...
使用EFIX的IERESET::腳本可以清掉目前比較常見的數值修改
但除了這樣以外還要注意其他像是被修改的捷徑
捷徑關聯是否被修改
或者是另外有惡意程式監控數值反覆修改等
總之並沒有那麼簡單就是.雖然清除也不困難啦....

-----------------------------------------------------
在不懂？
那請人幫你處裡吧...這種東西沒事不要隨便亂動，不然沒備份死系統是會想哭的.

EFix 5.7 20100728.06

2010-07-28T11:34:00.000+08:00

版本： 5.7 20100728.06

檔案資訊：

File size: 1525001 bytes
MD5...: c11202947b351f8fb5ffb55776f13910
SHA1..: 67a6dab848a8b13ef036edd3cbf6e6b93b532260

測試過的作業系統：
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項：
修正檔案關聯性列舉問題
修正APPINIT_DLLS不列舉問題
修正IERESET::腳本參數可能造成的部分CLSID遺失問題
修正SERVICE列舉SVCHOST.EXE路徑錯誤問題

為何才發布三天就說已過期？

2010-07-23T20:57:00.000+08:00

20100720.05這一版前面有提到過自動更新有問題

問題就在偵測自動更新偵測到更新時就會顯示檔案過期...0rz
所以才會顯示已過期

0723.04這一版已修正。

EFix 5.7 20100723.04

2010-07-23T16:18:00.000+08:00

版本：5.7 20100723.04

檔案資訊：

File size: 1619148 bytes
MD5...: def4034a372cdcf6bffe4d0ec901241b
SHA1..: 6547345225869ebb4739fed308df8aa51b52b60a

測試過的作業系統：
Windows XP SP2
Windows XP SP3
Windows 7 X86

修改事項：
修正自動更新的問題
新增刪除檔案

新的攻擊手法

2010-07-22T20:39:00.000+08:00

目前是還沒有在台灣有看到過。

不過既然新聞稿發那麼大並且也有實際的樣本出現了
那就大概提一下

這一個攻擊手法就目前來說也有透過隨身碟
但危害度比以往的AUTORUN.INF和偽裝資料夾要危險多了

轉貼PTT KarasuTW所提供的資料

微軟正在調查一起針對 Windows 殼層弱點進行的侷限且針對性的攻擊
攻擊者利用變造的捷徑檔，令目標系統在顯示出捷徑指定的圖示的時候
執行任意程式碼，攻擊者將獲得與目前本地使用者相當的權限。

攻擊案例：在隨身碟內植入帶有惡意程式的檔案 (應該可以是任意副檔名)
然後在根目錄植入特製捷徑檔，一待使用者瀏覽此隨身碟的根目錄
顯示出該捷徑檔的圖示時，惡意程式隨即執行。
亦可利用共享資料夾進行此攻擊。

影響範圍：WinXP SP3 ~ Win7、Win 2003 SP2 ~ Win 2008 R2 均受影響

是的，就目前的所有主流Windows全部躲不過
但更危險的是他並不需要使用者點擊或透過特殊方式進行攻擊
他只要使用者有開那個惡意程式所在的資料夾並且看到圖示就直接進行攻擊

簡單說就是看到圖就中啦...
就和你走在路邊看到一隻會咬人的狗，你只是經過看到他而已結果就被他咬這樣..

目前這一篇發佈的時候微軟還沒有提供相關的安全性更新進行修正
可能再等幾天吧....

目前的暫時處理方式
同樣轉貼PTT KarasuTW所提供的資料

應變方案：
1. 停止為捷徑檔顯示指定的圖示：
將 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 預設值的資料清空
然後重開機或是重啟 explorer.exe
此選項的影響是所有捷徑都會顯示系統內建的統一圖示。

2. 停止 WebClient 服務
將 WebClient 啟動類型改為已停用，並停止 WebClient 服務運作
WebDAV 和所有明示依賴 WebClient 服務的應用程式都將無法運作。

這兩種都是暫時的解決方案
這邊EFIX不會增加項目做處理，因為這只是暫時性方案而已
只是以很多人不喜歡更新這一點來說
勢必需要做一個提示上去就是.

目前手頭上也看到樣本了，感謝AVPCLUB Upside提供
不過由於目前沒看到相關感染案例，所以並不會馬上加到清單內
等真的有碰到再說....

自動更新又寫壞了...0rz

2010-07-20T13:39:00.000+08:00

這一次是沒寫好...我的疏忽0rz

順便說明一下好了

EFIX的自動更新機制會做三個檢查
第一個是版本更新檢查
第二個是版本過舊檢查
第三個是嚴重BUG檢查

第一個就是連網路檢查有沒有新的版本，有就下載比對，下載失敗或者是
不想要下載還可以繼續執行.

第二個和第一個的差別是，檢查到版本過舊時會跳出提示說已過期
假設不更新的話就會直接停止繼續執行不動作.

第三個是當檢查到有嚴重BUG時會馬上停止執行並自我銷毀.

到目前為止第三個是還沒有用到過.

第一和第二個這幾次改版都寫不好0rz
常常只顧東顧不到西的，加上AUTOIT改版之後的語法有變動
我到上上個星期才發現到....0rz

所以之前的自動更新功能一直出問題，當然和空間也有關.

這個以後再慢慢修正，目前還有很多需要處裡的...

EFix 5.7 20100720.05

2010-07-20T11:53:00.000+08:00

版本：5.7 20100720.05

檔案資訊：

File size: 1621436 bytes
MD5...: e4078f310370ecbafa39fe827e3fb043
SHA1..: 44d080914bee7d151416fa69103e3e01d93b61e2

測試過的作業系統：
Windows 7 X86
Windows XP SP2
Windows XP SP3

修改事項：
增加刪除檔案
加強一點首頁綁架預設處理的能力
修改小部分自動腳本結構

備註：
這兩天身體還是很不舒服...0rz
所以就不弄太多東西了.

靠么...昨天差點掛在路邊

2010-07-16T05:50:00.000+08:00

是真的差點掛掉...0rz

昨天照慣例騎車去接女朋友的時候結果突然發生全身發麻的情形
並有呼吸困難的情形發生
後來稱到我女朋友公司的時候叫我女朋友叫計程車到了急診

結果是呼吸過度？
我自己是完全沒有任何感覺呼吸過度的情形
不過似乎是這樣...結果打了醫生開的鎮定劑之後
過沒多久就好了
不過還真的是有鎮定感...走路都東倒西歪的

這個時候會覺得有女朋友真好QQ

不過有另一半的人要注意
除了要保護自己心愛的另一半以外
自己也要多保護好自己，也要多體諒自己的另一半

昨天在急診室的時候有碰到一個年輕小妹妹出車禍
哭得很慘，除了傷痛以外也一直提到他害死她男友

因為她男友掛了.....
後來聽我女朋友說那個小妹妹似乎是要求她男朋友接她
結果他男朋友就在載她騎車時打瞌睡...結果就是摔車
後來就是這樣....

我每次去急診室真的會常常碰到這種有的沒的事情
這一次還真的是讓人覺得蠻悲哀的....

EFix 5.7 20100713.09

2010-07-13T23:19:00.001+08:00

版本：5.7 20100713.09

檔案資訊：

File size: 1541659 bytes
MD5...: 7f1101f43b09792a4cb6e6ff8e8bb456
SHA1..: 93c43907bd083ce70cd01f6263141ea282ca0630

測試過的作業系統：
Windows 7 x86旗艦版
Windows XP SP2
Windows XP SP3

修改事項：
這個就是上一篇說的應該要放上來的版本...
新增腳本參數
ENABLE AUTORUN:: 開啟關閉的自動執行功能 ( 如果是使用EFix 5.x版關閉的話.. )
DISABLE AUTORUN:: 關閉自動執行功能 ( 使用鎖HKCU\...MOUNTPOINT2權限的方式 )
LNKFILE RESET:: 還原HKCR\LNKFILE登錄值，對應首頁綁架用的

腳本做一些微調。
新增刪除檔案

去除腳本參數EXTRA::
那真的沒甚麼用..0rz

備註：
基本上修改已經大致完成，看後續如何再決定是否要做最後的修改。

EFix 5.7 20100712.05

2010-07-13T09:40:00.000+08:00

版本：5.7 20100712.05

檔案資訊：

File size: 1528963 bytes
MD5...: 31bde4a441f8a74dada02366bb1a4e86
SHA1..: 861e36082abfabdb01d64a52dd4c6b7306edd5e9

測試過的作業系統：
Windows XP SP3
Windows XP SP2
Windows 7 x86 (旗艦版)

修改事項：
新增第三方工具REG.EXE和PRE.EXE
前半段批次腳本做大幅更改
GUI介面有變動請注意
修正部分人匯入登錄值會失效的問題

備註：
........放錯了0rz
我似乎上傳到還沒修改完全的版本
不過原本要放的版本只有介面多一點東西而已所以沒差就算了先發佈
原本要發的版本下一次再發。

EFix 5.6 20100708.02

2010-07-08T17:58:00.000+08:00

版本：5.6 20100708.02

檔案資訊：

File size: 1570025 bytes
MD5...: 3d11a48868b64c45ece781bcb25a866d
SHA1..: c7ef72d35492c9c2774c22d42cde9e85d63d73f5

測試過的作業系統
Windows 7 x86中文旗艦版
Windows XP SP3 中文版

修改事項：
修正因中文字元造成無法讀取啟動和桌面資料夾位置的問題
新增刪除檔案
自動更新讀取檔案時間拉長看自動更新是否能夠撐住。

備註：
還是沒改完...而且開始考慮有沒有那個需要去做大修改
因為測試過後檔案起碼增加400k...這樣光整包就快2M.
然而也只是增加了一些迴避以及避免被人看到源碼而已..這不是我的作風
所以就在考慮是否是真的要做大改嗎....?
在想看看好了.

自動更新...0rz

2010-07-05T21:33:00.000+08:00

還是依樣老問題，GOOGLE空間也爆啦XD
三個分流都不行.....0rz

這樣也都不行那我看大概也生出不空間來做處理了...0rz
這邊會在改版將下載時間拉長看看效果如何。

EFix 5.6 20100705.04

2010-07-05T21:05:00.000+08:00

版本： 5.6 20100705.04

檔案資訊：

File size: 1493220 bytes
MD5...: 70da900e6f08782a70ab0579ec78d797
SHA1..: 7e0dc93f7eece58173fdcd9b29478984a1745e0b

測試過的作業系統：
Windows 7 x86
Windows XP SP2
Windows XP SP3

修改事項：
修正0703版的刪除檔案列表BUG
移除第三方工具REG.EXE
新增第三方工具SWREG.EXE
修改部分批次結構.
修改GUI自動執行選項功能，原本的關閉開啟自動執行功能取消，只留微軟方案.
因為測試後不穩定因素太多所以先去除掉。

備註1：
基本上還沒改好...
不過因為0703版的BUG所以必須要先放出來沒辦法。

備註2：
SWREG這次是偷偷放上去...隨時有可能會又改回5.5版...0rz

EFix 5.5 20100703.07

2010-07-03T17:30:00.000+08:00

版本：20100703.07

檔案資訊：

File size: 1241507 bytes
MD5...: aa619367d26d557188b72f0e75cbcfa1
SHA1..: e69eb5ccd6d614779ab02d64a693a1c28fbad1c2

測試過的作業系統
Windows 7 X86旗艦版
Windows XP SP3

修改事項：
新增刪除檔案
修改內部部分批次結構.

備註：
這一版其實是不小心放上去的...東西還沒改完
不過既然已經放了就算了先放上來也好，剛好有加到比較新一點的惡意程式.

碎碎念...最近改的真累0rz

2010-07-01T21:37:00.000+08:00

由於發現之前會針對efix進行攻擊抵制的病毒有偷偷改版，同樣會對efix進行攻擊。
所以目前都先將重點放在迴避上面

只是改起來很辛苦....0rz
為了這個我還特別寫一個自動化的假編譯工具XD ( 用AUTOIT幫我每次打包的時候都做一些變化 )
只是後來發現似乎不只只有抓那一點東西進行攻擊
所以現在就在進行大改...
如果改好了原本的弱點會消失並且不是很好破 ( 預計啦 )
但.......真的很複雜0rz

原本寫的腳本編譯法要全部重寫..並且也要另外再包工具進去，檔案會變更大.
不過沒辦法這是趨勢，以後有機會的話我也想將SWREG放回去，不然一直靠下載很麻煩.

EFix 5.5 20100625.10

2010-06-25T21:18:00.001+08:00

版本：5.5 20100625.10

檔案資訊：

File size: 1236547 bytes
MD5...: ffea932646f1c7d1b7f7feb385d2f358
SHA1..: d8f5633c68336b5ab362ab56cc605c3074e1f13c

測試過的作業系統
Windows XP SP2
Windows XP SP3
Windows 7 x86旗艦版

修改事項：
新增刪除檔案
修改內部部分批次結構，看是否能解決一開始可能會出現的找不到檔案$%^這一類的訊息

備註：
看起來好像改不多東西...其實改超多的0rz
像版本是2010年06月25日改，10表示我發佈測試版本發佈10次
中間修改一大堆東西....0rz
執行上是沒甚麼差別，但內部修改很多。
不過不想說太多免得被惡意程式盯上
主要會改那麼多主要是這樣改有助於版本發佈時可躲開惡意程式攻擊。

EFix 5.5 20100617.02

2010-06-17T11:46:00.000+08:00

版本：5.5 20100617.02

檔案資訊：

MD5: 65dd9b24577cd85ee4f0140b447213b9
SHA1: fa9e145f91dfe33ad47b309ab940b21e5e6f59df
SIZE: 1,224,622

測試過的作業系統：
Windows XP SP2
Windows XP SP3
Windows 7 x86旗艦版

修改事項：
修改REBOOT::腳本重新啟動後自訂腳本登錄值匯入的順序，避開打包工具REG.EXE的BUG
增加刪除檔案

新增下載空間

2010-06-14T20:19:00.000+08:00

咪的哩才兩天就掛了...真是有夠讚的XUITE
重新放檔案到www.multiupload.com這邊
還是免空...0rz
沒辦法。

有關空間

2010-06-13T00:24:00.000+08:00

有人在問我為什麼程式一定堅持要放免空
不放其他人提供的學網空間或GOOGLE SITE

GOOGLE SITE其實以前有放過
還一次放三個分流，結果就是到了晚上比較多人下載的時候
就三個分流都爆...
那時候一天連線人數還不超過1000人。
現在大約是一天2000-3000人的流量
以這流量來看我看不用說晚上啦。

搞不好整天都下載不到東西...
加上現在自動更新的檔案已經放在GOOGLE平台內了
要是再放到GOOGLE那邊的話

不用說主程式了
我在處裡自訂腳本的時候也會出問題

至於學網
第一個我不是學生，就我個人原則學網是給學生用的
不是給我這種人用的
第二個是說難聽點，這東西其實還是有版權問題的....
只是目前沒有人在反應而已
要是有人因此這樣去追空間提供者提告還是幹嘛的
那不就是無謂之災？

所以很多人有提供學網空間我都拒絕了。
基本上現在的版本新的連線架構已經做好了
已經在做壓力測試
希望是能夠撐住現在一天大約3000人左右的流量....

EFix 5.5 20100611.07

2010-06-11T11:19:00.000+08:00

版本：5.5 20100611.07

檔案資訊：

File size: 1224659 bytes
MD5 : abca0c677609478873a4a9bc597073b4
SHA1 : 7079ebfea8a8cc162223f848105a074e43aadfe6

測試過的作業系統：
Windows 7 x86旗艦版
Windows XP SP2
Windows XP SP3

修改事項：
新增刪除檔案
新增偵測WINLOGON\TASKMAN底下和AUTORUN.INF內檔案的關連，相同就會刪除
強制移除%SYSTEMDRIVE%\AUTORUN.INF資料夾
%SYSTEMDRIVE%為系統磁碟

註：
這一次放XUITE看看使用情形如何。

GFF6.EXE ?

2010-06-10T17:32:00.002+08:00

這幾天比較常看到的是這樣

不過比較特別的是掃描報告裡面並不會看到甚麼特別異常的地方

一般描述都是描述連網路連一陣子不定時會出現

並且有可能有人會出現Generic Host Process for Win32 Services錯誤的情形

我看到第一個想到的就是MS08-067相關的東西
不過並不敢確定是否為此微軟漏洞產生或者是有0-DAY攻擊出現

然而就我觀察確實有喊中這東西的人相關的安全性更新都沒有補沒錯
並且也沒有裝任何防火牆，內建的是否有開啟就不清楚。

如果有碰到這檔案名稱的病毒者時
請先將上面提到的MS08-067漏洞先補起來，這個不管是不是正版都可以直接下載補
假設說補了還是一樣，那請將您的防火牆開啟，假設沒有裝防火牆的人，也請將WINDOWS內建的防火牆開啟並且重新設置。

這樣基本上就沒問題了。如果說沒有被打進系統的話...

----------------------------------------------------
這邊提醒各位，該裝的安全性更新還是要裝，如果真的是因為使用非正版軟體
而造成沒辦法更新的話，也請最少將MS08-067這一個裝起來。

並且善用你的防火牆，不要因為會跳提示或者是妨礙到使用就將他關閉。
那很危險的。

註：WINDOWS 7不需要安裝此更新，就目前為止WIN7也沒碰到有中這東西的。

EFix 5.5 20100604.01

2010-06-04T18:00:00.000+08:00

版本：5.5 20100604.01

檔案資訊：

File size: 1224423 bytes
MD5...: 21eb15975f362f95c5c4d3d469c8157a
SHA1..: 5ec67fca1f5f1a7a80b5349c4b8bf792335de02d

測試過的作業系統
Windows 7 X86旗艦版
Windows XP SP3
Windows XP SP2

修改事項：
增加VISTA的白名單
增加清除部分系統檔案內文件流資訊。

EFix 5.5 20100531.04

2010-05-31T11:27:00.000+08:00

版本：5.5 20100531.04

檔案資訊：

File size: 1224186 bytes
MD5...: fea11806150637043cbbd03c14c4a26f
SHA1..: ff3f991e7b97c47859e047c973a7f52c78f4e7b8

測試過的作業系統：
Windows 7 X86旗艦版
Windows XP SP2
Windows XP SP3

修改事項：
強化IERESET::自訂腳本的修復能力
新增自訂腳本REMOVEAUTORUN::
用來清除AUTORUN.INF資料夾的
系統分析列舉新增CLSID的COMMAND掃描
並修改列舉方式.
自動更新載點變更，不使用HINET免費空間。
改用三個分流處裡看看是否能夠消化自動更新的流量

備註：
從此版起開始不支援WIN 2000了請WIN 2000使用者注意
因為前幾天給公司SERVER跑了一次，雖然沒有甚麼太大問題
但是也出現不少小問題。
在手頭上沒有2000作業系統以及Win 2000已經過了產品維護周期
所以此處也不對WIN 2000做支援了。
還請使用者見諒.

當然如果還是執意要用的話，是可以使用EFix的DEBUG模式去跑
就可以跳過檢查程序，不過不建議.

CLSID真的他X的有夠複雜...

2010-05-29T21:25:00.000+08:00

這兩天光為了瀏覽器綁架的問題測試版的EFix不知道改了多少次版
每一次改成果都不滿意結果整段重寫...0rz
問題就在CLSID上面
太多了

結果建立白名單或黑名單都不是
同時也必須要想辦法去修復被刪除的正常CLSID數值
然而有些數值每一種作業系統所表示的值都不一樣...
手頭上有的作業系統也少
只好暫時先從自己電腦上面有的去過濾

結果就是測試發生一堆有的沒的問題0rz
沒辦法....在寫法還沒定案之前暫時先不會管其他的東西.

空間啊....0rz

2010-05-18T10:48:00.000+08:00

剛剛發現到HINET的空間又被修改了0rz
這樣子變成自動更新會失效...

那可能就是暫時先請各位使用免空下載了。

EFix 5.5 Ver 20100518.24

2010-05-18T10:40:00.000+08:00

版本： 5.5 20100518.24

檔案資訊：

File size: 1222215 bytes
MD5 : 2cd626d95ad2a0c798cbd08120f74856
SHA1 : e93435adcf104be2162ce144c31cc6759fd96091

測試過的作業系統：
Windows XP SP3
Windows XP SP2
Windows 7 X86 旗艦版

修改事項：
新增刪除檔案
:\Windows\System32\Post.exe相關

清除HKU\SID... ( S-1-1-12... )和HKCU\...\NAMESPACE下的CLSID數值
這兩個地方不應該有數值的.通常是假IE使用。

系統分析部分增加掃描
HKU\SID... ( S-1-1-12... ) 底下的NAMESPACE數值和HKCU\...\NAMESPACE數值

IERESET::指令做強化
增加HKCU\...\NAMESPACE和HKU\SID... ( S-1-1-12... )\NAMESPACE的權限值還原以及自動清除

備註：
1.EFTOOL原碼流失要再做修改有困難度，目前已很緩慢的進度正在重建中.
2.IERESET::指令目前雖然有作強化，但是因為沒時間測試所以只有確定他指令
是OK的，但效果如何就沒多測試，要有不能使用的情形的話麻煩跟我回報一下，感謝。
3.AUTORUN.INF一般來說大多數看到都會建立一個免疫資料夾，但是這樣反而衍生了更多，有需要加到自動移除腳本內嗎？
我個人是很想加...不過要看實際上面碰到的情形.

我哩...這下慘了0rz

2010-05-13T12:04:00.000+08:00

本來在一些論壇有和人討論有部分多餘功能要去掉所以準備要修改代碼的時候
結果發現源碼弄丟了QQ

那只好重寫....有的改0rz

EFix 5.5 20100420.18

2010-04-20T13:45:00.000+08:00

版本：5.5 20100420.18

檔案資訊：

File size: 1221833 bytes
MD5...: 942bc7eaa51a95a13e7459b0dfe3ce33
SHA1..: 4bf505bf297892d1a4c00feda2e6b0824f5956c9

測試過的作業系統
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項
新增刪除檔案

備註：
如果有看到刪除的檔案位置是在
:\windows\system32\eset.exe
可不要以為那是NOD32的東西，那是有問題的檔案。

EFix 5.5 20100416.17

2010-04-16T11:22:00.000+08:00

版本：5.5 20100416.17

檔案資訊

MD5:B27868764BF0A32DB2967798A93FFC19
SHA1:D98BDFC457C93D3D4F327698838F9BE03CBDD940
SIZE:1,221,875

測試過的作業系統
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項
修正報告中顯示日期的BUG
新增刪除檔案
新增LNKFILE的檢測 ( 測試階段 )

還是一樣還有東西未完成不過沒時間...0rz

EFix 5.5 20100330.16

2010-04-01T14:21:00.000+08:00

版本： 5.5 20100330.16

檔案資訊：

File size: 1221289 bytes
MD5 : b63efce55d226cd6b174d4b7adfdab7b
SHA1 : 5d2d2705475d5834c3c9e1dbadfec41d7d2cb05b

測試過的作業系統：
Windows 7 X86 旗艦版
Windows XP SP2
Windows XP SP3

修改事項：
修正系統分析報告一些重複的錯誤
新增刪除檔案
增加SWREG下載的機率
增加自訂腳本指令IERESET::

備註：還有一些東西還沒加...不過沒時間0rz
所以暫時先這樣吧。

有關下載空間

2010-03-29T22:36:00.000+08:00

這邊只能跟各位說聲抱歉

很多人其實都不清楚按了下載連結之後
所出現的下載位置

然而點了裡面的連結之後卻又有一堆有的沒的東西
基本上我也不希望冏>

不過由於最早期是使用HINET空間下載
結果卻是常常碰到因流量過高結果導致下載出問題的情形發生

一般情形就算了，頂多等晚一點再下或者是多下幾次就可以
但是由於在一些使用自訂腳本或者是內置腳本需要下載工具時
會變成下載失敗的情形，這樣會增加我這邊的流程處理難度
所以我必須要將HINET空間下載取消掉，不然流量鐵爆..

而我這邊也沒有適合的像是學術網路或者是可承受高流量也可直接下載的空間
就只好擺一般的免費空間了...

結果就是像現在這樣0rz

但我沒辦法在去生其他可以直接連結下載的空間了...
所以只好先這樣使用

不便之處還請大家多見諒.

----------------------------
至於有好心人提供給我空間使用
這邊先說聲非常感謝~ :)
不過因為第一個我很低調...光是我這邊除了下載位置以外其他沒有留任何聯絡我
的資料就知道我很低調了....
第二個我怕麻煩...
所以我也不是很希望因為空間下載問題所可能帶來的一些問題或麻煩。

所以就目前碰到好心提供給我空間的人我都婉拒了。
大致上是這樣。

EFix 5.5 20100316.08

2010-03-16T15:25:00.000+08:00

版本：5.5 20100316.08

檔案資訊：

FILE SIZE: 1220544 BYTES
MD5...: B32057110C02B521F94B4DEAFB1D4B5A
SHA1..: D984418DB5FB68DC523E8994E00A00CE01AA1E9B

測試過的作業系統
Windows 7 x86 旗艦版
Windows XP SP3

修改事項：
增加刪除檔案
增加檢測資源回收桶、我的電腦、網路芳鄰的CLSID值 ( 測試 )
會針對惡意程式綁架首頁所修改的{871C5380-42A0-1069-A2EA-08002B30309D} CLSID值作修復嘗試
修改類型五的部分偵測方式看能不能避免掃瞄到單行超過6萬字的檔案時發生EF擋掉的情形。
新增加偵測x64作業系統，偵測到是X64作業系統時會顯示不支援，而不是執行到一半後中斷。

註：X64 一樣還是在研究，不過要支援的機率還是不高就是...
可能最多就是讓他去偵測x86模式的程序檔案和登錄值而已，這是打包的工具限制沒辦法。

有關Windows 7 x64的支援

2010-03-08T23:09:00.000+08:00

這兩天終於弄到x64玩了...

大致試了幾個差別。
發現想要讓目前的EFix能夠支援x64可能有一點難度....

雖然說目前測試跑的x86程式單獨跑大多都OK
原本執行到建立還原就中斷的問題是因為命令提示字符的關係
但因為目前碰到的一些差別讓我不是很敢下去測試0rz

主要問題就是在x86程式和x64程式所建立的位置問題
比如打包的pv

pv本身是x86程式
在執行的時候也只能抓到執行中的x86程式
x64的一率抓不到0rz

而reg也是x86程式
同樣的假設去抓HKLM\SOFTWARE\ABC登錄值
也會去抓取HHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\ABC底下的資料

然而x86和x64一般安裝的Program Files資料夾也不同
x86的是Program Files (x86)
然而環境變數會讓x86程式執行時自動轉換到x86對應的環境下
所以在抓%ProgramFiles%環境變數資料夾內的數據，原本應該是:\Program Files資料夾
結果變成:\Program Files (x86)

這樣變成部分資料會抓不到
如果就這樣隨便貿然將資料庫加上去鐵死

所以目前基本上應該是沒機會支援x64了...

那使用x64的使用者怎麼辦？
由於我目前也無法得知有中x86惡意程式的話資料會怎麼寫入系統
所以目前也沒得處理。

還好目前看到x64使用者碰到惡意程式的機率比較低一些
大多都是一些首頁綁架問題而已，一般手動處理即可。

我這邊可能會編寫一個x64用的系統檢測工具 ( 用純AUTOIT撰寫，這樣就可以比較完整支援x64 )
但不做自動清除只做偵測，因為運作機制我還完全不懂
必須要多做研究才行...

以上是自我碎碎念
結論就是要支援x64...還早啦~

------------------------------------------------------
本來還以為改一些特殊字元的檢測就好了，一跑過之後發現完全不是那麼一回事0rz

EFix Ver 20100227.06

2010-02-27T21:16:00.000+08:00

版本：5.5 20100227.06

檔案資訊：

File size: 1229517 bytes
MD5...: a0f766f49fce88f9cf1985caff903a97
SHA1..: 4c22a0666759f0407e43210e28036c30b6458084

測試過的作業系統
Windows 7 旗艦版

修改事項
新增加刪除檔案

註1：
同前除了新增刪除檔案以外沒修改任何東西
所以基本上其他版本的作業系統使用上應該是沒問題

註2：
最近實在沒時間去碰這東西....0rz
所以沒有特別勤的在追或者是在測試
還請有使用的人多見諒.

EFix Ver 20100220.05

2010-02-20T22:23:00.000+08:00

版本： 20100220.05

檔案資訊：

File size: 1229378 bytes
MD5...: 293b8e34e34e5c92f2f0b8118bcaf15e
SHA1..: fc06e377ee71560ab601a6f8b797ceb0f7783add

測試過的作業系統
Windows 7 旗艦版

修改事項
增加刪除檔案，因為是kavo變種所以就只加這個.

備註：
也因為只有加刪除檔案而已所以就沒詳細測了
基本上其他作業系統大致上是OK啦。

200萬人了

2010-02-09T10:18:00.000+08:00

瀏覽人次到200萬人了 XD

感謝各位支持
農曆年快到了助各位心想事成萬事如意

考慮是不是要換個名稱

2010-02-03T13:31:00.000+08:00

我發現還是有很多人一直在用舊版的EFix再跑
舊到哪呢？
舊到兩年多前的版本...0rz
到底從哪找到的舊版本啊..連我都將原碼丟了.

可是因為使用者卻完全不清楚他跑的是新版本還是舊版本
所以常常出現跑了說沒效，跑有問題的情形出現.
但實際上換個新版本就可以解決了.

所以這邊有在想是不是要改個名稱了？
這樣可以和以前的版本做一個區隔，就比較不會有碰到和使用者雞同鴨講的問題存在.

現在做的有做版本控制和版本過舊時強制自我刪除控制
所以就不用太擔心改版檔案沒辦法回收的問題.

同樣的這名稱當初取的時候也沒想很多
就純粹只是因為手太長打錯字所以就算了

但後來發現和很多東西重複....0rz
像是某一個讓PC上用MAC作業系統的東西
還有相機的一個數值
還有一間和我現在公司工作的內容差不多的公司...

....只是要改啥名稱？

EFix 5.5 20100201.04

2010-02-01T12:07:00.000+08:00

版本：5.5 20100201.04

檔案資訊：
File size: 1220067 bytes
MD5...: 85ddab6057f757e285b2ce1e3cbc29b7
SHA1..: e04f365338e6282322b213d0c944fcaba9b2da55

測試過的作業系統
Windows XP SP2 SP3
Windows 7 RC1 7100
Windows 7 RTM 7600 旗艦版 ( 感謝中毒苦主測試 )
Windows Vista SP1 ( 感謝中毒苦主測試 )

修改事項：
修正PendingRenameOperation登錄值顯示錯誤的問題
新增刪除檔案
系統分析新增找尋url捷徑
快速啟動列原本只顯示尋找lnk捷徑，現在改成全顯示.
新增檢測IE主檔案，未通過數位簽章會顯示出來.

備註：
目前用AUTOIT製作的檔案SYMANTEC會報 Suspicious.Insight
使用這廠的防毒軟體的人請注意一下.
目前有找人回報了，不過甚麼時候會改就不清楚.

微軟 KB978207 安全性更新

2010-01-22T17:42:00.001+08:00

用IE的人請趕快更新。

這更新是修正前一陣子還蠻熱鬧的因IE漏洞導至GOOGLE被攻擊的安全性更新
由於攻擊原碼已流出，所以請務必更新

位置：
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=207eecad-6e84-48e6-ae18-6794a3618ee0

-------------------------------------------------------------------------
不過這漏洞總覺得和對岸攻擊GOOGLE有甚麼關係？
聽起來像是利用有掛使用這漏洞惡意程式的網站去取得個人資料之後
在進行偷竊個人資料...只是偷資料是偷使用GOOGLE服務相關的資料
這個不是很多都有？

不過我也不是很清楚情形就是，不管怎麼說更新出了趕快先更新吧
尤其是台灣這邊那麼多人還在用IE，加上非正版使用者多導至很多人都不更新的
這樣是很危險的.

有關EFix 5.5 GUI 修改需注意的地方

2010-01-20T14:38:00.000+08:00

基本上因為是改用AUTOIT的關係
所以在設計上面會比較精簡一點

這邊就大概說明一下視窗的用途

首先看主頁面

界面很精簡.....說真的我個人也覺得精簡點好
不然都沒人看的懂怎麼用....雖然說現在應該也沒幾個人知道怎麼用

上面工作列主選單的選項是對應到下方那一排按鈕的
如果說按鈕不方便按的話就可以使用上方工具列處理

再來是選項部分
選項部分有兩個選項
一個是只使用系統分析
一個是開啟用延伸系統分析

只使用系統分析為當您不想要使用EFix自帶的清除腳本動作，但需要檢查系統報告時可使用此選項
這一個選項選取後按開始會直接跳過系統自帶腳本部分而進行系統分析
這樣對不太喜歡預設那爛爛的自動化腳本的人會比較方便一點

再來是啟用延伸系統分析
延伸系統分析是增加掃描以下幾個地方

1.新增/移除程式的資料
2.Windows更新資料
3.系統事件日誌

對需追蹤這些地方的人有幫助
不過...就我目前看應該是沒有人需要用到才是.

?這一個選項就是讀我資訊和連到這個BLOG

再來提到左半邊的按鈕

開始和取消就不提了，用途就是字面那個意思
而自訂腳本和之前一樣，位置換到右邊而已
比較需要提而且一般人會用到的是自動播放選項和資料夾還原選項

自動播放選項如下圖

基本上使用方式和前面幾版一樣，同樣是使用關閉MOUNTPOINT2的方式
這邊如果說在下載相關工具SWREG失敗時，按鈕會反白無法選取
而在Win7時則直接無法選取

再來是修改最多的資料夾還原選項
資料夾還原選項如下圖：

這一個視窗和前一版差別很多
現在會直接將系統所有在跟目錄位置下帶隱藏屬性的資料夾顯示出來
而顯示出來後要怎麼還原？
就是對準該項目按滑鼠右鍵
會出現還原選項，如下圖：

裡面帶有兩個選項，一個是還原屬性，一個是包含子資料夾
一般來說不建議使用包含子資料夾，除非你確定那個資料夾裡面的所有檔案都有被隱藏才使用
不然一般使用還原屬性即可
而當按下還原後，馬上就將全部屬性去除掉。
也就是說修改成即時性的.
這樣圖形化操作應該是會比較容易理解.

上述為本次版本更新GUI的修改事項
有甚麼樣的使用問題可以到PTT找我

EFix Ver 5.5 20100120.01

2010-01-20T13:50:00.002+08:00

版本：5.5 20100120.01

檔案資訊：
File size: 1219350 bytes
MD5...: 088b24df26151ab41796e98b138fa437
SHA1..: f2cc6b6c2bd363f24abc0945af6e47f1dfbd5f31

測試過的作業系統：
Windows 7 RC1 7100
Windows XP SP2
Windows XP SP3
Windows 7 家用版 <-- 感謝中毒網友提供測試XD
Windows Vista SP1 <-- 感謝中毒網友提供測試XD

修改事項：
移除第三方工具CURL MOVEEX CRC32 MD5DEEP MSHTA FILEVER
移除SCRIPT GUI使用的相關檔案
新增檔案EFTOOL ( 使用AUTOIT製作的自製工具 )
修改GUI界面，原本使用HTML現在改用AUTOIT繪製
新增刪除檔案
新增刪除部分不安全的NAMESPACE ( 對應桌面上可能產生的一些怪異圖示清除 )
新增檢測以下資料夾並列舉捷徑 ( 不做刪除因為無法判斷使用者會不會需要用到，同樣對應捷徑首頁綁架法而做的 )

USER桌面
ALLUSER桌面
快速啟動資料夾
開始 -> 程式集資料夾

新增檢測部分登錄值，這邊就不列舉了
修正部分BUG。

----------------------------------------------------------------
註1：特別感謝 AVPCLUB 如夢似幻協助測試除錯
以及巴哈姆特 wellss 提供AUTOIT相關說明文件以及資訊提供.

註2：一樣是不支援X64，沒作業系統可以測...

下載連結換空間

2010-01-17T13:27:00.000+08:00

因為之前直接放HINET連結結果造成自訂腳本執行速度會變慢 ( 因為要花時間去下載檔案 )
所以原本的連結取消，改用免空的空間。
不便之處還請見諒

---------------------------------------------
不過就我目前觀察是沒人在乎的...XD

EFix Ver 5.3 20100109.34

2010-01-09T19:52:00.003+08:00

版本： 5.3 20100109.34

檔案資訊：
File size: 1124303 bytes
MD5 : 72d5c737b2c032bec1d98e3fbf767373
SHA1 : 8b1506e234e83b23f5f7469530d563b82ade303f

測試過的作業系統
Windows 7 RC1
Windows XP SP2 SP3

修改事項
修正自訂腳本DEL DRIVER::指令驅動項目使用大寫會失效的問題
修改偵測EXPLORER\NAMESPACE登錄值的方式
新增數位簽章檢查失敗的檔案列舉MD5和CRC32數值

EFix Ver 5.3 20100105.31

2010-01-05T17:16:00.003+08:00

版本： 5.3 20100105.31

檔案資訊：
File size: 1123558 bytes
MD5...: bf14af5631cc816c7e3fdd727245b3b9
SHA1..: 5b843d57783fba3a01f14a2339620bb37bc01696

測試過的作業系統：
Windows XP XP2
Windows 7 RC1

修改事項：
修改RESET REG::腳本指令無效的問題
系統分析新增加掃描桌面資料夾，程式集資料夾，快速啟動列資料夾的所有捷徑檔
並列舉參數出來，這是對應首頁綁架用的
系統分析新增掃描桌面假IE圖示對應的CLSID值
同樣是對應首頁綁架用的
增加一點刪除檔案 ( 真的只有一點... )

備註1：
目前正在著手修改部分主架構，將一些本來是使用第三方工具的軟體改用自己寫的AUTOIT主檔，不過碰到了很多問題...所以目前主力是放在那邊
5.3版的基本上除非有特別需求不然應該是不會有太頻繁的更動才是.

備註2：
數位簽章列舉MD5值來不及加上去0rz
等有空吧..

這邊特別感謝AVPCLUB的如夢似幻提供了不少樣本供測試以及除錯測試.

另外提醒首頁綁架

2010-01-01T00:21:00.005+08:00

最近常碰到的東西是首頁綁架
不瞞各位說我自己這一台都中招了XD

甚麼時候中的不知道
今天抽空測試EFix的時候才發現首頁被修改
應該是在查資料的時候連的大陸網站中的
確實不簡單.

不過手法只是很簡單的作一個參數修改而已
沒有值入任何惡意程式
所以將參數修改回去就好了

既然連我都中了那我想就提一下這一個首頁綁架的特性好了

現在大陸那邊的綁架首頁比較流行的方式是修改幾個地方

1.將快速啟動列、桌面和程式集的INTERNET EXPLORER捷徑作一個增加參數的修改

比如像底下：

正常來說應該是這樣
然而惡意網站會將該捷徑修改成如下圖

有注意到嗎？
IEXPLORE.EXE後方多了一個網址
在該捷徑來說就是在開啓IE時直接開啓http://www.google.com.tw這個網站

利用捷徑盲點達到所謂的綁架目的
這一種的處理方式基本上就是刪除重建就好了
但要注意一點就是就目前來說所碰到的
會大多將這一個捷徑檔的刪除權限去除掉
所以在刪除檔案前要先將權限回復.

2.修改首頁登錄值後將權限修改成只能讀取登錄值不能刪除
INTERNER EXPLORER的首頁位置在
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
底下的MAIN值內
一般是修改這邊達到綁架的效果
不過這邊也會被上權限達到無法修改的效果

處理的方式
先開啓登錄編輯器移到
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer登錄值中
之後選右鍵找使用權限點進去
在將EVERYONE補上去並修改成一般可讀寫權限後再去修改
怎麼修改可以爬一下我之前發的文

3.增加一個或多個CLSID值並對應到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 這一個登錄值位置對應到桌面上
像是資源回收桶這一種非捷徑的圖示都是從這邊定義

基本上這邊的值都固定那幾個
只要將增加的值刪除即可
不知道原本的值的話
可以到該值去找
只要看到是亂碼的，就刪吧XD

這邊比較複雜不是很想說太多..

目前大陸那邊比較流行的純首頁綁架方式 (就不種惡意程式純綁你首頁) 大致上是這三種方式

以上這三種請各位自己多小心
可以的話請盡量使用非IE瀏覽器連網路
可以的話最好連FIREFOX也避免...不過那不可能的事XD
FIREFOX還是有很大的優勢這沒辦法..

--------------------------------------------
另外以後的趨勢是針對adobe的相關產品做攻擊
adobe的一些東西弱點不少，請各位多加小心了.

2010年

2010-01-01T00:17:00.002+08:00

2010年了。
祝大家新年心想事成萬事如意
病毒不要來
用不到EFix XD

-------------------------------------
2010年過年中有空檔繼續寫EFix ... 0rz
AUTOIT執行效率不太好.

最近時間實在不夠...0rz

2009-12-23T00:36:00.002+08:00

最近年底到了公司CASE超級多..
結果根本沒辦法去作EFix的修改

結果昨天趁中午時間大概看了一下源碼發現自己都快看不懂了0rz
也因此想說做一些大改變，只不過有時間再說吧...

基本上目前EFix更新的進度如下：

原本修改的進度 = 增加十行左右代碼... ( 有網友希望能夠有的登錄值權限還原這一個放進去了 )
新增加功能 = 0

不過由於目前有接觸到AUTOIT腳本，在大概接觸了一下後發現是可以用的
所以目前是打算做一個大修改，將原本使用CMD腳本修改成為使用AUTOIT腳本來處理
這樣的好處是可以去掉大多數第三方工具，如果使用上能夠更得心應手的話甚至有機會可以做到
完全不打包任何第三方工具
假設做到這一點的話，那X64支援就有可能了，AUTOIT編譯時可以使用X64.
只是目前做不到...

但上面所提到的東西全部都必須等我有時間才行....0rz

今年我看大概是沒機會了.

AVAST 的嚴重誤判

2009-12-03T16:31:00.002+08:00

雖然已經出修補程式了啦，不過還是提一下

有使用AVAST防毒軟體的人
如果說您看到您的病毒庫資料為2009-12-03-0的
請務必更新您的病毒碼至更新版狀態

目前所知AVAST 2009-12-03-0的病毒資料庫會誤判大部分應用程式
造成刪除後系統崩潰的情形發生.

基本上我個人是覺得不要去怪他。
這種情形基本上每一間防毒廠商或多或少都有發生過
加強自己對自己系統的認知才能避免當誤判情形出現時因不清楚情形造成系統崩潰的狀況發生

增加一個下載連結

2009-12-02T20:06:00.001+08:00

便當狗這幾天掛了，所以增加一個megaupload空間的連結

新修改的其他選項

2009-11-27T09:11:00.005+08:00

這一次作的修改最主要是將SCRIPT GUI的其他選項部分做了一個修改

其他選項其中裡面還原磁碟帶隱藏屬性的檔案是以選取磁碟來做一個無差別處理
如下圖：

這樣在之前一直都碰到有人就直接也無差別全選之後就直接跑了..
後來看到系統裡面突然多出來一堆原本應該是本來就隱藏起來也不能刪除或移動他的資料夾或檔案
然後心慌去刪除他，之後系統就掛了...然後怪EFix

所以這邊將選項做了一個修改
修改成直接顯示被隱藏的檔案，要還原的話只還原有勾選的項次
如下圖：

上面的圖注意我文字打錯了，不是檔案是資料夾

下方的選項修改成包含子資料夾和顯示被隱藏的檔案
包含子資料夾的用處是一樣的，目的在將選取的資料夾內的所有帶有含隱藏屬性的資料夾全部去除掉所有屬性變成一般屬性
一般一樣建議除非是真的全部都被隱藏，不然別用
而另一個選項是新增加的顯示被隱藏的檔案

如下圖：

在勾選之後會將系統裡面帶隱藏屬性的檔案顯示出來
同樣勾選之後繼續執行就可以將該檔案屬性還原

這樣的使用方式我想應該能夠比較減少一些問題出現

不過這邊要注意一點，就是該顯示隱藏檔案資料只限於根目錄
也就是C:\,D:\,E:\ 這樣子底下的資料夾
並不會顯示所有資料夾內的資料夾
這點還請多注意一下。

其他就沒甚麼太大變動.

EFix Ver 5.3 20091126.30

2009-11-26T20:05:00.002+08:00

版本：20091126.30

檔案資訊:
File size: 1114053 bytes
MD5...: 47fa82b6af2637498dee6b9880054dff
SHA1..: 2ce9b98e77d15985357d689671ba303def8af736

測試過的作業系統：
Windows 7 RC1
Windows XP SP2 SP3

修改事項：
SCRIPT GUI更新到1.8
GUI的還原各磁碟帶隱藏屬性的資料夾做修改
以前只有選擇磁碟代號，現在會直接將隱藏檔案顯示出來
GUI的讀我資訊從原本的呼叫記事本修改成直接顯示
GUI的官網修改成連至比較需要用到的地方

新增刪除檔案

後記：請小心變種的台灣製資料夾型病毒
越來越沒良心了那東西...
如果硬刪除該病毒主檔的話會有機會造成該病毒直接摧毀系統
由於該病毒似乎志在刷某網站的流量
所以在某一個程度到達之後他一樣會直接摧毀系統
請各位務必多加注意.

小紅傘中文化 beta版測試活動

2009-11-16T23:20:00.002+08:00

小紅傘是在台灣還算不少人使用並且滿意度還算高的防毒軟體
近期代理商 (是吧=.=a) 作了中文化的工作，並釋出測試版讓人測試.
有興趣參加活動的請至下列網址觀看，不過就目前情形來說我看大概差不多快滿了吧...

http://g-ray.com.tw/forum/index.php?topic=89.15

有中文化算好事囉，多一個選擇總是不錯的

------------------------------------------------
至於我用哪一套？
就目前來說我沒裝，不管是公司或者是家裡.
好孩子不要學XD

其他選項不了解的話就不要用免的問題會更多

2009-11-16T22:35:00.007+08:00

因為碰到好多了...

雖然說大致上還不至於影響系統運作
但是將屬性打亂掉或多或少也是會造成一些問題存在

在SCRIPT GUI視窗裡面的其他選項中，其中有一個大項次叫做還原下列選取磁碟代號內被隱藏的資料夾的
如下圖：

這一個選項用途是用來應付偽裝成資料夾引誘你點擊的病毒

從今年年初開始有另一種不是利用自動執行功能的隨身碟病毒開始在散佈
就目前來說大陸地區已經是取代隨身碟AUTORUN.INF成為主要的隨身碟病毒

他的做法是將原本在隨身碟內的資料夾隱藏起來
在將病毒自己本身改名為資料夾的名稱，並將自己的圖示修改成資料夾圖示
也因此不知情的使用者在點擊了該資料夾圖示時，就會讓自己的電腦中毒

然而刪毒簡單，但回復被病毒隱藏起來的資料夾在一些使用者來說算是蠻困難的
所以這邊做了一個選項讓那些被隱藏的資料夾能夠方便還原
但要注意，這一個選項本身並不會去幫你篩選哪一些是該隱藏的哪一些是該顯示的
只要是有帶隱藏屬性的資料夾一律讓他顯示，除非在白名單之內的

要硬是讓他們顯示的話，可能會有若干性的系統問題
而且這一點是不可逆的，所以除非是真的有碰到資料夾屬性都被隱藏
否則這一個選項請不要去動他，尤其是包含子資料夾.

我改天似乎該做一個說明書才是...
不然看到啥選項就勾的人也不少，鐵定會造成一堆問題...

EFix 5.3 20091116.27

2009-11-16T12:10:00.003+08:00

版本：20091116.27

檔案資訊：
File size: 1113053 bytes
MD5...: 60c8e3f524665a747557c104aeb06cd5
SHA1..: a25bfd9802dd23c8a5ec8db071493812a2ddd651

測試過的作業系統
Windows XP SP2
Windows 7 RC1

修改事項
SCRIPT GUI介面更新到1.7版，其他設定選項和自訂腳本全部都改成用分頁作切換.

備註：對一個完全沒接觸過HTML語法的人這個GUI還真是難弄...
後來研究了一個多月後終於在VBS上搞成功了...結果也只是短短幾行而已0rz
這邊感謝【卜維丰】HTML / CSS / JavaScript BLOG頁面上的分頁切換架構範例.

EFix 5.3 20091110.26

2009-11-10T10:35:00.003+08:00

版本：20091110.26

檔案資訊 (exe檔)：
File size: 1113732 bytes
MD5...: 986feda7b0a58b56827d6d82a18f7c32
SHA1..: d63768dc06582850ff20694a75588488d0d12cb8

測試過的作業系統：
Windows XP SP2
Windows 7 RC1

修改事項：
SCRIPT GUI介面作一點修改
增加延伸系統分析，位置放在自訂腳本裡面，主要增加掃描新增移除程式和Windows錯誤事件報告以及連至Windows UPDATE檢查有哪些更新沒有更新.
增加一點刪除檔案.

備註：
HINET空間最近又不太穩定，可以的話就從網頁這邊的免費空間下載吧
自動更新可能會出點狀況.
另外Win7 x64鐵定是不支援的,現在不會以後也不會.除非這一整個架構整個重作,不過那是不可能的事..
因為裡面包的工具也大多都不支援，連工具本身都不支援了怎麼可能會讓只是讓那些工具自動化工作的腳本支援...

EFix Ver 5.3 20091023.22

2009-10-23T16:48:00.004+08:00

版本：5.3 20091023.22

檔案資訊 (EXE檔本身的資訊)：

File size: 1122344 bytes
MD5...: 3e1394f25b35268927f85f454ef7f09e
SHA1..: 3edb705fe9ef1634e4995580ae66b6978cf4fd1f

測試過的作業系統：

Windows 7 RC1

Windows XP SP2

修改事項：

增加刪除檔案 (softqq0.dll - softqq9.dll , bnmkue0.dll , bnmkue1.dll - bnmkue9.dll , aqoeerw.exe)

註1：

這兩個因為同一天看到兩例以上的人有中，有用其他軟體增加免疫資料夾的全部會偵測不到，沒有用免疫資料夾的舊版本皆可處理，但因為還是有必要要加所以先緊急加上去了

註2：

咪的哩我還在忙耶逼我一定要修改冏+

近期Yahoo Mail信箱的病毒一些防治方式

2009-10-22T13:01:00.011+08:00

Yahoo Mail 基本上來說在很多人心中是大毒窟
有人每天都可以收到一大堆帶病毒信件的郵件

然後這些病毒信件在每一家防毒來說基本上是抓不到的
為何抓不到？
因為那些檔案本來就是正常的檔案...

該病毒郵件使用的原理大至如下:

寄出郵件，檔案大約1.多k
使用者收到病毒郵件可以看到有夾帶約1.多k左右的lnk檔
像是
可愛的愛心大頭照.lnk
交易明細.lnk

這一類後面可以看到很明顯的副檔名叫作lnk

而這一類的檔案在執行後
他會依照他的腳本進行動作

腳本內容就不貼了，這邊貼主要的動作

他會使用到系統裡面的FTP.EXE (內建的Windows指令，用處為使用FTP傳輸協定連線到伺服器上下傳東西)
連線到該惡意伺服器下載惡意程式並執行

當下載的惡意程式執行後該lnk檔就不再有任何動作
很單純的就只是一個自動化腳本，利用電腦內建的指令去作自動化動作
也因為都是使用Windows內建的指令，所以在防毒廠商和防毒軟體來說
那東西並不算是病毒 (實際也不是)

也因此在預防上面可以針對FTP.EXE這東西下手

FTP.EXE前面提到是Windows內建指令，功用為使用FTP通訊協定和伺服器進行連線
而FTP.EXE這東西一般人沒有人在使用，所以我們可以將他的檔案權限鎖住讓他無法執行。

使用方式基本上如下：

首先開啟我的電腦
按工作列的工具 -> 資料夾選項 -> 檢視

尋找 "使用簡易檔案共用(建議)" 這一項將他取消打勾.

如果是已經取消的就不管他

之後開啟到windows\system32資料夾,尋找FTP.EXE這一個檔案
在該檔案按滑鼠右鍵選擇內容

之後跳出來的視窗選擇安全性
並尋找名稱那一欄為Everyone的選項選取反白，選取反白後在下方欄位拒絕處全勾.
勾選完後按下確定即可.

如果您之前有將
"使用簡易檔案共用(建議)"
這一項取消打勾的話建議您再將他打勾回去

如果假設沒有Everyone這一個使用者呢？
那就要新增

首先按下群組或使用者名稱下方的新增按鈕

按下之後再跳出的視窗選擇進階

跳出的新視窗在按下立即尋找
等跑完後在最下方視窗處尋找Everyone選取他讓他反白並按下確定.

之後會回到上一層視窗，檢查在輸入物件或名稱來選取這一欄看有沒有Everyone的存在

有就按確定，按完之後就會出現Everyone的名稱了.

當處理完畢之後，就可以發現FTP.EXE已經無法使用.

這樣也因為病毒無法使用FTP.EXE下載病毒，進而讓該下載器無法動作
就可達到防止自動下載真正病毒執行的效果.

然而使用上有一些限制，如果有符合以下限制的人要不然就是換方法
要不然就多留意一些不要執行到了

1.系統磁碟檔案格式為FAT32
2.有需要使用到FTP.EXE這一個內建指令連線伺服器的人 (不是檔FTP傳輸協定，只是單純檔FTP.EXE這個檔案執行而已，只檔這檔案並不影響FTP使用)

基本上最根本的方式就是多注意信件
不要看到就開啟就能減少很多問題了..

至於FAT32因為沒有安全性這東西那要怎麼作才行？
基本上會建議使用安全性原則或者是IFEO去阻檔,這個以後在說...

EFix 5.3 20091021.21

2009-10-21T12:48:00.002+08:00

版本：5.3 20091021.21

檔案資訊 (未壓縮的exe檔)：
File size: 1112368 bytes
MD5...: bb3707a7de405c89e826b3d8633e8ba2
SHA1..: 099dbfdaa2d39db1f8993b36bbca7c84f7d2872a

測試過的作業系統：
Windows 7 RC1
Windows XP SP2

修改事項
修正取得磁碟代號失敗後走備援方案時跳出的問題
新增一點刪除檔案
VBSCRIPT腳本作一些整合.

最近家裡事情很多，可能一小段時間除非有大流行或者是有比較需要馬上修正的BUG
不然可能暫時會先擺著，可能要到11月中才會在作一些變動..

EF Win 2003不支援的原因

2009-10-07T14:57:00.003+08:00

有些人問我怎麼不讓EFix支援Windows 2003?

簡單說因為我手邊沒有作業系統可以測試
從以前到現在都沒有過
不像VISTA或2000我偶爾還有機會碰到可以查一下

而Win 2003和其他作業系統的一些差別我沒辦法得知
使用上可能看不出來，但一些驅動和服務的值和一些登錄設定的值是完全不同的,2000和XP和VISTA就是這樣

也因此我並沒有辦法得知2003的一些設定值和其他作業系統哪邊不一樣的情形下
我不敢隨便就讓他能夠跑.

以前舊版能跑是因為腳本不嚴謹沒有特別設規則讓他跳出 , 沒跑出問題很偷笑了...

EFix 5.3 20091007.17

2009-10-07T14:39:00.002+08:00

版本：
5.3 20091007.17

檔案資訊 ( 解開ZIP後的大小 ):
File size: 1112999 bytes
MD5...: c8cff35ed0f0893d5ed5c9cc1a7f2467
SHA1..: a0486c71d56661690a1f0e3b7cba08764dabed90

測試過的作業系統:
Windows 7 RC1
Windows XP

修改事項：
移除第三方工具Donwload , 新增第三方工具cURL
修正一些打錯字的地方
增加分析磁碟根目錄下的隱藏資料夾和同名檔案
腳本自動下載工具的連結多增加三個。降低空間負擔並提高下載成功率

EFix 5.3 20090929.12

2009-09-29T16:46:00.004+08:00

版本：5.3 20090929.12

檔案資訊 (ZIP壓縮解開後)：
File size: 978882 bytes
MD5...: f4301f32ac80d7d3612f2489637da711
SHA1..: b2ea7b521fe37fffeaa9712945111a7827dd4833

測試過的作業系統：
Windows XP
Windows 7 RC1

修改事項：
修正SCRIPT GUI 英文介面選項都不能使用的問題
修正一些腳本錯誤的代碼
修正一些腳本打錯字的地方
修改腳本執行方式，可盡量避免因腳本中斷造成各種執行上的問題，但缺點是變成雙程序在跑
修改偵測新版本EFix的方式，可避免因HINET空間快取問題導致的一堆狀況.
新增自訂腳本參數CP FILE::
此參數為複製檔案用參數，用途通常為還原被病毒替換的系統檔案

註1：
因應HINET空間快取的問題，所以以後檔案名稱又要作修改.
修改的原則是EF%日期版本編號%.exe

比如說像這一次發佈的 20090929.12版
下載的檔案就是EF2009092912.exe
以此類推

利用檔案名稱不同的方式來避開HINET空間快取的機制
同時也可避免以後有可能會碰到的劫持 (EX:IFEO 安全性原則封鎖)
也可以避免直接連結XD
不過這樣我比較累就是0rz
還有部分東西還沒整理，不過老闆在罵人了堆了一堆case都沒弄冏>
所以就等下一次改版在說吧.

註2:
HINET空間下載連結暫時還是一樣不發，現在正在找比較適合的方式.
如果您無法使用便當狗空間的話
就請您下載
http://sylovanas.myweb.hinet.net/EF/EF版本編號.exe
像這一版就是
EF2009092912.exe

我不直接貼連結是因為太多人都點HINET空間，結果常造成HINET空間過度不穩定.
這樣會讓之後可能會下載的腳本工具出現非常多不穩定的因素.
因此有不便之處還請多多見諒.

下載連結修改

2009-09-26T13:11:00.001+08:00

咪的勒真棒的便當狗

自動給我將副檔名作修改...

這邊將便當狗的連結作一個修改

並將原本的執行檔壓縮成zip檔

下載後請解壓縮執行.

Hinet空間的問題我在想辦法搞定..

EFix 5.3 20090925.09

2009-09-25T15:03:00.001+08:00

版本： 5.3 20090925.09

檔案資訊：
File size: 978576 bytes
MD5...: 39eefb6856963b435fbcaa4bc8f23241
SHA1..: 1b0c79d9911e591e5bf41ada2c404b6a5d048252

測試過的作業系統：
Windows XP2
Windows 7 RC1

修改事項：
更新第三方工具Nircmd
修改免責事項說明
增加一點刪除檔案
增加免責聲明按否和SCRIPT GUI視窗按取消時會將作業資料夾刪除以節省空間.
修改部分檔案位置讓分散的檔案盡可能集中放在同一資料夾內方便處理.

Hinet空間暫停

2009-09-23T10:00:00.000+08:00

似乎用的人太多下載出問題了..
我這邊自己點都一直點下載到前兩個版本的0rz.

所以暫停一天到兩天
等他處理好之後在放上來

EFix Ver 5.3 20090921.07

2009-09-22T22:06:00.003+08:00

版本：5.3 20090921.07

檔案資訊：
File size: 954433 bytes
MD5...: 976ecd785cbcee98da2a940f8e176748
SHA1..: 1d184f9771181a1dbd87eb63afc9639f816e9d64

測試過的作業系統：
Windows XP SP2
Windows 7 RC1

修改事項：
去掉執行後開我的電腦會強制顯示右方資料夾的功能
本來是要應對最近有看到的一個惡意程式
不過因為每個人設定值都有一點不太一樣，所以就放棄強制修復.

EFix Ver 5.3 20090921.06

2009-09-22T13:45:00.001+08:00

版本：5.3 20090921.06

檔案資訊：
File size: 944619 bytes
MD5...: 44e8d9e10d60477816e2d1c8dbc67911
SHA1..: 27fa883579f7460534efd7861a9c42f793538742

測試過的作業系統：
Windows XP SP2
Windows 7 RC1

修改事項：
剛剛放錯檔0rz
但為了區別版本所以版本號更新了一點
.05底下那個版有會誤將taskman值修改成不正確值的問題.

EFix Ver 5.3 20090921.05

2009-09-22T13:04:00.001+08:00

版本： 5.3 20090921.05

檔案資訊：
File size: 944621 bytes
MD5...: 6b36f7741dbf02c950ce9637ca98693d
SHA1..: 8824cf52d24e4ea08c677ba5d12b3acdb067de4f

測試過的作業系統
Windows XP SP2
Windows 7 RC1 7100

修改事項：
增加第三方工具Streams
增加刪除清單
自訂腳本新增clean ADS::
用來清除NTFS文件流用的

EFix Ver 5.3 20090917.02

2009-09-17T10:23:00.002+08:00

版本：5.3 20090917.02

檔案資訊：
File size: 924587 bytes
MD5...: ac86fb9f192254aa1d637d72b04ee4ba
SHA1..: e091eb560ba832061f22abd0e8a31dce18f09bc4

測試過的作業系統：
windows xp sp2
windows 7 RC7100

修改事項：
script gui介面作大幅修改
增加gui功能
增加第三方工具mshta.exe
增加部分刪除檔案
一開始執行時會先將先前改亂數名的檔案刪除.

有部分檔案時間不夠加上去，下次改版在加.

註：
有另外使用自定義腳本功能的人請注意一下位置有變了

EFix Ver 5.2 20090908.67

2009-09-08T13:58:00.001+08:00

版本：5.2 20090908.67

檔案資訊：
File size: 909780 bytes
MD5...: 003e21f33d47bb645d3c18978ef05073
SHA1..: 2dd6cd7bd5a163d97940a0ac0912a6e8955aeb40

測試過的作業系統：
Windows XP SP2
Windows 7 RC 7100

修改事項：
新增刪除檔案

增加一個下載連結

2009-09-05T11:34:00.003+08:00

這個連結是便當狗的....

為何用便當狗？
因為剛剛在用便當狗下檔案XD

用看看看能不能減緩一點Hinet空間的負擔

另外對幫助提供空間的人
基本上是很感謝你們好心提供出空間給我

不過因為小弟不好意思使用=.=a
也怕說如果有些人在執行EF前中後出現甚麼事情要找我算帳還是幹嘛的
會牽扯到提供空間的人
所以我想這邊空間盡量以免費和我自己用的為主
這樣可以避免爭議啦...

不過在此還是非常感謝提供空間的人的心意m(_o_)m

EFix Ver 5.2 20090828.61

2009-08-28T16:46:00.001+08:00

版本： 5.2 20090828.61

檔案資訊：
File size: 909284 bytes
MD5...: 26b5fae0c7cacd482313a5d4ce6aefdb
SHA1..: 77fdc3f8d8eb8d721873bd902b621488df9b497d

測試過的作業系統：
Windows XP SP2
Windows 7 RC 7100

修改事項：
修改腳本del driver::以及其他一些bug

EFix Ver 5.2 20090823.59

2009-08-23T20:26:00.000+08:00

版本：5.2 20090823.59

檔案資訊：
File size: 918594 bytes
MD5...: 5429024152dee3d418ccaa16344ad65c
SHA1..: cad3f3d570a81efd72b901cf3f71489aa6932b83

測試過的作業系統：
Windows XP SP2
Windows 7 RC 7100

修改事項：
增加刪除檔案
修bug

EFix Ver 5.2 20090823.55

2009-08-23T16:54:00.003+08:00

版本資訊：5.2 20090823.55

檔案資訊：
File size: 918459 bytes
MD5...: de4a0ad03b7720f3f94485f1bbe78fa0
SHA1..: a5b9ed9ca287a5b0f76229d363cd20adf5716283

測試過的作業系統：
Windows XP SP2
Windows 7 RC 7100

修改事項：
因應針對EFix作的惡意程式，將主程序作了一個修改.避免執行EFix之後病毒抓取到主程序EF.COM之後進行自爆並毀滅作業系統的情形.
修正一點不重要的bug

有意思...

2009-08-23T01:20:00.001+08:00

這一次碰到的隨身碟資料夾型病毒很有意思

感謝香菇小精靈隨身碟病毒清除軟體作者提供了一些資訊

是這樣的.

前幾天我有跟人提到就是台灣製的隨身碟病毒

這個隨身碟病毒有變種

而他這一次的變種有針對EFix而來.

這還第一次碰到....還蠻有意思的

香菇小精靈有提到該病毒會檢測系統裡面的程序

該批次代碼如下:

tasklist|findstr /c:"ef.com" && (goto :kill)

:kill
taskkill /F /IM explorer.exe
del /f /s /q /a:h %SystemDrive%\boot.ini
del /f /s /q /a:h %SystemDrive%\IO.sys
del /f /s /q /a:h %SystemDrive%\CONFIG.SYS
del /f /s /q /a:h %SystemDrive%\ntldr
del /f /s /q /a:h %SystemDrive%\AUTOEXEC.BAT
del /f /s /q /a:h %SystemDrive%\MSDOS.SYS
md %SystemDrive%\boot.ini
md %SystemDrive%\IO.sys
md %SystemDrive%\CONFIG.SYS
md %SystemDrive%\ntldr
md %SystemDrive%\AUTOEXEC.BAT
md %SystemDrive%\MSDOS.SYS
del /f /s /q "%windir%\system32\drivers\pci.sys"
md "%windir%\system32\drivers\pci.sys"
shutdown -f -s -t 0
del %0

上面的代碼我大概解釋一下
該病毒使用tasklist 這一段指令去檢查執行中的程序裡面有沒有一個叫做 ef.com的程序
有的話，就刪除上面從:kill之後的檔案並建立資料夾讓你沒辦法複製回去

然而ef.com 就是EFix使用的主運作程序....XD

所以我想之前有一位版友有碰到ntldr移失的，我看大概就是因為這樣的原因
好樣的....

我這兩天會找時間再做一些修改，看看能不能突破這惡意攻擊...
有中的人自己先小心點.

EFix Ver 5.2 20090817.52

2009-08-17T15:24:00.002+08:00

版本： 5.2 20090817.52

檔案資訊：
File size: 908629 bytes
MD5...: 4b25d2732e748992926ac864e121bf81
SHA1..: 23111eda18e2e675fd7eea7981d06cd5736abf7d

測試過的作業系統
Windows XP SP2
Windows 7 RC 7100

修改事項：
增加刪除檔案
修正特殊模式4的偵測全部跳過的問題

EFix Ver 5.2 20090814.51

2009-08-14T13:40:00.001+08:00

版本：5.2 20090814.51

檔案資訊：
File size: 908439 bytes
MD5...: 007e306f1627aa54b11f937d3401bf2a
SHA1..: cf023785670944954916ae26ff2831dacbf1d672

測試過的作業系統：
Windows XP SP2 SP3
Windows 7 RC1 7100

修改事項：
自定義腳本參數增加
List File::
List Folder::
all Process::
修正驅動項目還沒經過白名單過濾就直接進行黑名單比對的問題.

首頁被綁架進選項變灰色不能動的解決方式

2009-08-14T11:28:00.004+08:00

這邊一樣也是測試那個台灣製資料夾病毒所產生出來的東西

首頁會被綁架變成哪個網址我忘記了0rz
晚一點在測一下
11:49補充:該網址是 11bc0072.linkbucks.com

而綁架之後在IE的網際網路選項內的首頁會變成灰色無法修改回來
而要回復成可以修改的方式可使用底下的方法試看看 (不保證一定會好)

注意：底下的操作具有一定風險性，如沒有把握請找他人幫忙處理.

複製底下的紅色文字

REGEDIT4
[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer]

之後開啟記事本將複製的文字貼上 (注意：[到]之間是同一行包含[])
之後按另存新檔
檔案名稱取名為123.reg
檔案類型選所有檔案
編碼選ANSI

之後執行123.reg後按下確定.
然後重開機開IE在去修改即可.

EFix Ver 5.2 20090806.47

2009-08-06T13:40:00.004+08:00

版本資訊： 5.2 20090806.47

檔案資訊：
File size: 907554 bytes
MD5 : 92352fc15766af12f95efbcfddc452a5
SHA1 : 183b3f69b4d09ca9c46a715346fd8218fcc43d55

測試過的作業系統：
Windows XP SP2 SP3
Windows 7 RC7100

修改事項：
增加對近期比較多的台灣製批次型隨身碟偽裝成資料夾的病毒主檔作一個較完整的處理
但並不處理隨身碟上所產生的偽裝檔，因為會引響到執行速度
所以有中的人如果要清理請先執行EFix
EFix會將常駐在系統的病毒主檔破壞刪除.
之後在將隨身碟內建立的偽裝資料夾病毒自行清理掉即可.

無法刪除的使用者帳戶

2009-08-05T17:12:00.001+08:00

這邊是在測試病毒的時候發現的...

處理方式
XP SP2

先開啟登錄編輯器
然後尋找
HKEY_LOCAL_MACHINE\SAM
按右鍵選使用權限
將administrator允許的地方打勾
打勾之後到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
去找那一個不知道為何多出來的使用者名稱將他刪除就可以.
刪除完之後到HKEY_LOCAL_MACHINE\SAM的位置將權限還原.

但要注意這樣有可能會造成系統崩潰或者是不穩定
使用時要三思.

EFix Ver 5.2 20090805.44

2009-08-05T09:20:00.002+08:00

版本：5.2 20090805.44

檔案資訊：
File size: 907028 bytes
MD5...: 5661de8671e71d68eda20641e95b2d1d
SHA1..: 6ee7e4221379c7b9e06d62dbf936469c9f7fb8ea

測試過的作業系統
Windows XP SP3
Windows 7 RC7100

修改事項：
修正誤刪adobe系列的東西.這一版修正先放出來
晚一點還有一個地方要處理,但誤刪是最優先處理的所以先放出來.

EFix Ver 5.2 20090804.43

2009-08-04T13:49:00.002+08:00

版本： 5.2 20090804.43

檔案資訊：
File size: 907002 bytes
MD5...: 8982fd5faa3fcf2c67b1b9e69b5e065a
SHA1..: 8728c4b368cc40fd755018c9c78df8e99c9d78de

測試過的作業系統：
Windows XP SP3
Windows 7 RC7100

修改事項：
增加一個檔案現在沒用到，以後會有機會用到
強化對台灣製資料夾病毒的偵測
修改部分人執行到script gui內會變亂碼的情形 (html語系問題)
系統分析日期建立檔案增加windows\system資料夾.

還原系統到EFix執行前的用法

2009-07-30T16:37:00.003+08:00

這兩天有看一下，似乎有些人執行時還是有些問題.
雖然說不見得是EFix造成的，但我想一般都會以結果論來看吧.

這邊先提一個重點，在您執行EFix要清惡意程式的同時請不要忘記了，惡意程式他正在執行...
天曉得這惡意程式會有甚麼樣子的動作.

像之前所碰到的每個月3號和18還28號刪D,E槽全磁碟資料的惡作劇惡意程式他就是這樣幹.
當中這東西到了每個月3號的時候，就開始刪除D槽E槽的所有資料
刪除完之後再建立一個autorun.inf檔案以及,.exe檔案
此時D槽E槽就只剩下這兩個檔案...
而其中,.exe被刪除之後在使用者要開啟D槽或E槽的時候
就會出現磁碟點不開的情形，因為autorun.inf找不到所需要執行的檔案
所以使用者就會開始找軟體想辦法解決,而找到這裡或者是其他的一些清除軟體
然而執行完畢後autorun.inf刪除了，但使用者一開啟了D槽或E槽後發現
奇怪怎麼我的資料全部被刪光了？

而這時就會產生幾種情形.

1.使用者認為病毒砍了他全磁碟資料找復原軟體 (O)
2.使用者不知道發生甚麼情形以為他自己幹了啥事刪了全磁碟資料 (X)
3.使用者認為是EFix或者是清除軟體刪了他全磁碟資料 (X)
4. .......直接罵聲幹作清除軟體的人不得好死這一類的...

但前面病毒流程我已經說明了，而在這病毒剛出現的時候
很多人跟我反應為何執行了EFix之後發現他D槽或E槽資料都不見了？
有人還說小心路上不要被他碰到等等的...

連部分的解毒老手一開始也沒辦法得知這惡意程式的動作進而跟我反應說會刪除全磁碟資料
後來找到一個協助者取得了樣本後才知道原來那病毒會這樣幹...

那一段時間黑鍋可真的是背很大0rz
這是往事....就不管他了.

這邊提重點

如果說你覺得執行EFix後的結果讓你不滿意或者是覺得反而問題更多的話
您可以使用EFix裡面所建立的幾個還原方式去還原到執行EFix之前的狀態.

總共是以下兩種方式：

1.Windows內建的系統還原
首先如果你是第一次執行的話，假設你系統中的系統還原有開啟並且能夠正常動作
此時EFix會建立一個系統還原點，在當天第二次執行之後就不會建立了.除非又隔一天
而系統還原要怎麼使用？

按開始 -> 程式集 -> 附屬應用程式 -> 系統工具 -> 系統還原
點下去之後他就會有相關的還原選項讓您選擇
此時請注意EFix還原點名稱為EFix Created Point
如果只是要回復到執行EFix前的狀態，就請找這一項還原即可

2.登錄值備份和檔案備份

基本上檔案備份就看最後產生的報告為主
EX:
EF刪除的檔案備份位置列表:

C:\Windows\System32\kavo.exe => C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir

像這樣你就可以去找
C:\ef_backup\backup\C\Windows\System32\kavo.exe.vir這檔案
將他複製到c:\windows\system32資料夾後，再將後面的副檔名.vir去掉
這樣檔案就回去了

而登錄值呢？

登錄值的話請你找C:\ef_backup\reg\erunt這一個資料夾
裡面有一個程式叫作erdnt
在執行他之後他會跳出視窗
請全部打勾之後在按下OK，該程式會要求您重開機
重開機之後登錄值就還原到最後一次執行EFix之前的狀態

以上這兩種方式為EFix對系統檔案的備份方式.
程式本身雖然在我這以及我周圍的電腦上面測試過都沒有太大的問題
但我並不能保證每一台電腦在執行上都不會有任何狀況，畢竟這變數太大
所以作這兩個還原方式讓系統有機會能夠還原到執行前的狀態.

只是現在的病毒....請自己多小心吧.
資料該作好備份和系統安全的部分就多加留意

EFix Ver 5.2 2009072840

2009-07-29T11:01:00.002+08:00

版本：5.2 20090728.40

測試過的作業系統：
Windows XP SP3
Windows Vista
Windows 7 RC 7100

檔案資訊：
File size: 905913 bytes
MD5 : 51e4d5c4f9aa2fa5d11b00959c0430a1
SHA1 : 978c521a5b1770b51284fc9ed783885435c40330

修改事項：
修正移除腳本如果有swxcacls檔案會機率性產生死循環的問題.
修改services.vbs的讀取方式.

EFix Ver 5.2 20090724.39

2009-07-24T16:11:00.001+08:00

版本：5.2 20090724.39

檔案資訊：

File size: 905988 bytes

MD5...: 82650519d98ca2ea758ef50a19684628

SHA1..: 7be43e76c36f13156235b1f4700b4cfe83ca584a

測試過的作業系統：
Windows XP SP3
Windows Vista
Windows 7 RC1 7100

修改事項：
去掉刪除mdm.exe
介面作一點修改.

其他：
空間越來越慘了0rz

夭壽...

2009-07-23T20:37:00.002+08:00

寫這類腳本軟體還真的要特別小心...

以前犯的錯誤結果到現在都還有在流傳0rz

也不過就放上來兩天而已..

這邊一樣特別提醒
如果您手邊有EFix檔案名稱叫做EFix.exe的，請務必將他刪掉
那是有問題的版本.
W2K如果你有先執行新版本在執行可能還沒事，因為新版有對那一個超舊版作一個檔案補充避免執行後出問題
但如果你是直接執行EFix.exe的話，會有一定機率刪除掉系統磁碟內所有資料.

這問題我一發現之後馬上就將檔案刪除並整個重寫，現在是不會有這種情形了.
但那時流出去的檔案我並沒有辦法回收，所以我這邊也只能呼籲
千萬不要再用EFix.exe 這一個檔案名稱的EFix去修復您的系統
除了現在沒辦法應對新變種的惡意程式了.還有機會造成你系統資料遺失

EFix Ver 5.2 20090716.38

2009-07-16T17:15:00.004+08:00

版本: 5.2 20090716.38

檔案資訊:
File size: 906090 bytes
MD5...: 00093bb5ba5822971f2f68188ce5526b
SHA1..: 4d4526b62a93ee40bf5c65cf466583149af0668b

測試過的作業系統:
Windows XP SP3
Windows Vista Homebasic
Windows 7 RC 7100

修改事項:
修正檢測執行中程序時碰到:中斷的問題
增加安全性更新KB961371和KB973346的檢查.沒有更新會列舉出來
修改建立系統還原執行方式，以前是每一次執行都會建立一次，這次改過是只有當天的第一次執行EFix才會建立，之後當天就不建立了節省磁碟空間.

EFix Ver 5.2 20090710.36

2009-07-10T15:13:00.003+08:00

版本：5.2 20090710.36

檔案資訊：
File size: 906002 bytes
MD5...: d5de47893d567c4f0d1ec36a00be7367
SHA1..: dec8291f0cb1ab021c304b9e031182c342f376eb

測試過的環境：
Windows XP SP3
Windows Vista
Windows 7 RC 7100

修改資訊：
........忘記了0rz
只記得一個是修改文字資訊而已
還有一個是修改掃描報告中的執行中程序列舉增加微軟數位簽章檢查
有過會顯示"Verified"

EFix Ver 5.2 20090707.35

2009-07-07T16:28:00.002+08:00

版本：5.2 20090707.35

檔案資訊：
File size: 906443 bytes
MD5...: c7f438a3620378732b0ff4e3f5d65b38
SHA1..: 094a58d6fc843a1497d32cedfd5ac11c44dbfa41

修改事項：
修正一些無關緊要的錯誤
增加之前批次大修改忘記加進去的東西.

補充：
這一次有測試Vista HomeBasic可以正常使用
Win2000找不到機器測..不過應該也是ok.

EFix 台灣較常見惡意程式清除工具.

EFIX 5.7 20110122.01

EFIX 5.7 20101130.03

底下那篇只是測試OPERA相容性用的

TEST用

EFIX 5.7 20101118.05

EFix 5.7 20101016.04

NOD32的誤判..

好久沒碰這東西了...

EFix 5.7 20100830.03

EFix 5.7 20100811.04

EFIX 5.7 20100810.03

微軟重大安全性更新 KB2286198

[新聞] 中國變種木馬 綁架桌面捷徑

EFix 5.7 20100728.06

為何才發布三天就說已過期？

EFix 5.7 20100723.04

新的攻擊手法

自動更新又寫壞了...0rz

EFix 5.7 20100720.05

靠么...昨天差點掛在路邊

EFix 5.7 20100713.09

EFix 5.7 20100712.05

EFix 5.6 20100708.02

自動更新...0rz

EFix 5.6 20100705.04

EFix 5.5 20100703.07

碎碎念...最近改的真累0rz

EFix 5.5 20100625.10

EFix 5.5 20100617.02

新增下載空間

有關空間

EFix 5.5 20100611.07

GFF6.EXE ?

EFix 5.5 20100604.01

EFix 5.5 20100531.04

CLSID真的他X的有夠複雜...

空間啊....0rz

EFix 5.5 Ver 20100518.24

我哩...這下慘了0rz

EFix 5.5 20100420.18

EFix 5.5 20100416.17

EFix 5.5 20100330.16

有關下載空間

EFix 5.5 20100316.08

有關Windows 7 x64的支援

EFix Ver 20100227.06

EFix Ver 20100220.05

200萬人了

考慮是不是要換個名稱

EFix 5.5 20100201.04

微軟 KB978207 安全性更新

有關EFix 5.5 GUI 修改需注意的地方

EFix Ver 5.5 20100120.01

下載連結換空間

EFix Ver 5.3 20100109.34

EFix Ver 5.3 20100105.31

另外提醒首頁綁架

2010年

最近時間實在不夠...0rz

AVAST 的嚴重誤判

增加一個下載連結

新修改的其他選項

EFix Ver 5.3 20091126.30

小紅傘 中文化 beta版測試活動

其他選項不了解的話就不要用免的問題會更多

EFix 5.3 20091116.27

EFix 5.3 20091110.26

EFix Ver 5.3 20091023.22

近期Yahoo Mail信箱的病毒一些防治方式

EFix 5.3 20091021.21

EF Win 2003不支援的原因

EFix 5.3 20091007.17

EFix 5.3 20090929.12

下載連結修改

EFix 5.3 20090925.09

Hinet空間暫停

EFix Ver 5.3 20090921.07

EFix Ver 5.3 20090921.06

EFix Ver 5.3 20090921.05

[新聞] 中國變種木馬綁架桌面捷徑

小紅傘中文化 beta版測試活動