推 junorn:果然是這樣用...說明都是英文我看不懂XD 07/10 15:06
※ 引述《junorn (威廉華勒斯)》之銘言:
: 用這個看看,順便試用途
: 不過不保證回的來
: 下載FindAWF
: http://noahdfear.geekstogo.com/FindAWF.exe
: 執行後等一下會跳出文字視窗
: 將文字視窗內容貼到置底空間po上來
FindAWF是拿來對付檔案置換型病毒的
諾頓的定義
Searches for files referenced in the following registry subkeys:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
For all the files found referenced in the registry subkey values,
the Trojan creates a copy of the referenced file in a folder named "bak"
at the same path as the original file. Then the Trojan will replace the
original file with a copy of itself.
翻譯
病毒會把RUN機碼中指定的檔案置換
原本是指向C:\123\456.EXE
病毒把456.EXE搬到C:\123\BAK\456.EXE
再把病毒文件改名為456.EXE 放到C:\123\456.EXE
這種手法很奸詐 沒掃毒的話 很難從LOG看出端倪
如果病毒又修改檔案創建日期 就可以從COMBOFIX的檔案清單消失了
FINDAWF會搜尋所有磁碟上的BAK資料夾
也會列出檔名相同並且檔案路徑類似的項目
但是他不會做任何動作 只限於列出可疑項目
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.114.123.112