※ 引述《junorn (威廉華勒斯)》之銘言： : 用這個看看，順便試用途 : 不過不保證回的來 : 下載FindAWF : http://noahdfear.geekstogo.com/FindAWF.exe : 執行後等一下會跳出文字視窗 : 將文字視窗內容貼到置底空間po上來 FindAWF是拿來對付檔案置換型病毒的 諾頓的定義 Searches for files referenced in the following registry subkeys: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run For all the files found referenced in the registry subkey values, the Trojan creates a copy of the referenced file in a folder named "bak" at the same path as the original file. Then the Trojan will replace the original file with a copy of itself. 翻譯 病毒會把RUN機碼中指定的檔案置換 原本是指向C:\123\456.EXE 病毒把456.EXE搬到C:\123\BAK\456.EXE 再把病毒文件改名為456.EXE 放到C:\123\456.EXE 這種手法很奸詐 沒掃毒的話 很難從LOG看出端倪 如果病毒又修改檔案創建日期 就可以從COMBOFIX的檔案清單消失了 FINDAWF會搜尋所有磁碟上的BAK資料夾 也會列出檔名相同並且檔案路徑類似的項目 但是他不會做任何動作 只限於列出可疑項目 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.114.123.112