最近越來越常用Combofix這程式，有些板友對它有疑問 我就我所知道的說明一下 Combofix是由國外網友sUBs所撰寫的程式，原本的用途是拿來清除一些特定惡意程式 原理大致上就是整合了修復手續 讓你一鍵修復 當然 它修的機碼很多都是HJT看不到的 所使用的手段也是比較特殊的 sUBs是很專業的惡意程式清除者，她大部分時間都在「觀察」其他高手處理 很榮幸的 她發現咱們的同胞 阿共 撰寫惡意程式的功力越來越高 讓它有想挑戰的慾望 就開始著手蒐集相關資料 在今年10月推出第一版專門清除阿共惡意程式的Combofix 之後陸陸續續的更新 讓這個程式越來越完善 其實說穿了 Combofix跟360性質有點類似 但是360要安裝 我不是很喜歡 = = 用Combofix掃出的LOG 大致上分以下幾部分 Other Deletions Combofix幫你刪掉的問題檔案 不用擔心他刪錯 因為這些都是經驗累積出來的... Files Created from XXX to XXX 近一個月來 電腦新增的檔案 當然它不會全部紀錄 它只紀錄有可能有感染能力的檔案 Find3M Report 找出近三個月來 修改過的檔案 同樣的 它只紀錄有可能有感染能力的檔案 Reg Loading Points 一些機碼 包含了HJT不會去偵測的部分 所以這部分頗重要 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 建議： 當板友看自己的機碼，發現有大陸軟體的「痕跡」，都可以執行看看 很多時候，有很多問題檔案，或是問題驅動，HJT看不出來，甚至連SRENG等都會被矇蔽 這種經驗累積出來的軟體 可靠度絕對沒問題 它不會去清「可疑」的東西 另外 很多時候會發現HJT有無法修復的機碼 或是有刪不掉的檔案 往往都是因為有驅動在搞鬼 很多驅動甚至寫到安全模式的模組 讓你很難去動它 要慢慢修 可以 但是過程絕對是驚天動地 最近比較紅的 像PCTOOLS.DLL VISION 3721 CDNNS基本上都是驅動級的 你很難去動它 就算你僥倖把檔案刪了 通常都會有剩餘的驅動在執行 伺機而動 大約11月初吧 有個aelupsvc32.dll頗熱門 它會寫入一個驅動wsfit32 這個驅動...你用HJT.SRENG.AUTORUNS都看不到...就會發生永遠修不完的窘境 當然 sUBs他們會知道 是因為它們都曾經遇過類似的case 花了很多時間 才找出原因 下載網址 http://download.bleepingcomputer.com/sUBs/ComboFix.exe <- 修改過的網址 執行過程中請完全不要動電腦 另外 如果你電腦登入名稱是中文 可能會執行錯誤 sUBs正在對這點作修復了 加油! -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.230.182.88 > -------------------------------------------------------------------------- < 作者: olliekr (Nitrous Oxide!) 看板: AntiVirus 標題: Re: [推薦] Combofix 時間: Sat Dec 30 20:54:58 2006 Combofix更新了 本次更新主要有以下幾點 1. 加強中文系統支援度 所有掃描應該都可以在10分鐘內完成 2. 加強對隨身碟病毒偵測 所有本機AUTORUN值都會顯示出來 以下是示範LOG [HKCU\..\MountPoints\{36e87055-e94f-11d9-8331-806d6172696f}] Shell\AutoRun\command C:\ Shell\explore\Command WScript.exe .\autorun.vbs Shell\open\Command WScript.exe .\autorun.vbs 這表示C槽被植入隨身碟病毒，雙擊開啟或右鍵開啟都會觸發讀取autorun.vbs這檔案 解決辦法就是 刪除autorun.vbs <---- 注意！不再侷限是AUTORUN.INF 但是刪了之後開啟C槽會有錯誤訊息 還要用REGEDIT刪除示範LOG中的機碼{36e87055-e94f-11d9-8331-806d6172696f} 3. 可以偵測本機近期新增的SERVICE/DRIVER 4. 刪除一些不必要的LOG資訊 5. 新增大量的刪除檔案名單 > -------------------------------------------------------------------------- < 作者: olliekr (Pascal Van Eijk!) 看板: AntiVirus 標題: Re: [推薦] Combofix 時間: Sat Jan 13 03:22:58 2007 提醒一下 Combofix網址要改變了 以後都將整合到 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 再提醒一下大家 Combofix是會更新的 版本資訊會寫在LOG檔頭 如果你的版本太舊 記得重新下載一個 然後 再解釋一下一個最近看出端倪的LOG 如果Combofix出現以下資訊 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* SmallCenter 表示有不正常的DLL 利用SVCHOST載入系統 這一部分Hijackthis看不到 要用SRENG(Autoruns不清楚...) 以本例來說 SRENG的SERVICES部分會出現 [Portable Equipment Service / SmallCenter][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\kpsmp.dll> 老話一句：它不會誤判，但是可能會少看 那些掛著MICROSOFT標籤，或是沒寫名字的DLL，都要注意一下 有新發現再跟大家分享