C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\

今天的確是想要發個文章
但想發的並不是如何解病毒的文啊 冏

相信如果電腦沒有被強制隱藏檔案
應該很多人會看到
C:\RECYCLER\
這個個資料夾
然後裡面有一個資源回收筒的圖案
檔名長這樣
S-1-5-21-1482476501-1644491937-682003330-1013
看起來就很像是WINDOWS裡面的什麼暫存資源回收筒之類的
點進去還真的是被刪除的資料
但是他什麼時候會漏餡呢
假如刪除此資料夾的時候會突然發現系統跳出詢問視窗詢問是不是要刪除desktop.ini以及win32.exe兩個剛才沒看到的檔案
所以就算不用皺眉頭也可以知道案情顯然並不單純

以下為此病毒的定義
來自threatexpert

http://www.threatexpert.com/report.aspx?uid=92a38f4e-68c1-4031-ab76-a9afb31eb746

顯然不是什麼狠腳色
但是看久了還是挺礙眼的

在網路找了一下
發現賽門鐵克的網站上有相關討論
↓
http://www.symantec.com/connect/forums/virus-alert-crecyclers-1-5-21-1482476501-1644491937-682003330-1013svchostexe

雖然問題檔案名稱不太一樣
但解法我想相去不遠
因此就先照它上面提供的方法操作

我想可以看到此檔案應該是表示電腦本身可以顯示隱藏檔
因此我就不提怎樣處理強制隱藏系統檔案的木馬了
想知道怎樣處理可以去請示GOOGLE
或是看此文→http://www.wretch.cc/blog/tabris13/9930470

回到主題
解毒的第一件事情是按ctrl+alt+delete打開windows工作管理員
切換到處理程序的頁籤
然後找出explorer.exe
按右鍵結束該處理程序
假如在XP底下發現有很多個explorer.exe或是名字很像的諸如exp1orer.exe、explore.exe之類的
恭喜你
我們改天再說XD

結束處理程序之後會發現視窗下面的開始按鈕那一條東西不見了
那是正常現象
explorer.exe負責項目就是這些
包含檔案資料夾操作等等
所以關掉就表示暫時不能呼叫它們
推測應該是因為木馬有修改explorer.exe的程式碼所以才做此動作
下一步是直接從工作管理員的檔案選擇執行 輸入regedit.exe
然後輸入C:\RECYCLER(不管後面接什麼 只要是有RECYCLER的通通都殺)
去把所有相關的機碼通通殺掉
殺完之後再回到工作管理員然後點檔案>執行 輸入explorer.exe把explorer.exe重新載入
然後到各個磁碟槽檢查一下
把所有的RECYCLER資料夾全部殺掉
觀察會不會再生
如果不會就重開機
然後再檢查一次
確定都沒再生就是擺平了

10/29
事隔一天來補充一點事情
RECYCLER並不完全就表示他是病毒的資料夾
除非該磁碟槽本身是FAT32才有問題
根據M$技術支援網站的奇怪翻譯→http://support.microsoft.com/kb/171694
寫道
它是NTFS格式的磁碟槽會自動產生的資料夾
所以判斷上顯然不太容易
這樣看來
是不是應該要用SID反查對應的USER呢??

總之假如電腦裡面有RECYCLER的資料夾不用緊張
使用chrome瀏覽器
把C:\RECYCLER貼到網址列可以看見目錄模式的資料夾內容
然後點選那一串SID進去
就可以知道裡面到底有什麼了
或是使用命令提示字元也可以看到

閱讀全文...

ygmdrm.exe病毒移除

昨天晚上興致一來開始替電腦減肥
於是一個資料夾一個資料夾檢查有沒有不要的檔案
看看看到最後卻看到病毒....
好吧
網路稱他做CLOAKED MALWARE
換句話說就是隱形惡意軟件

他路徑還頗奇怪的
在
C:\Documents and Settings\(USERNAME)\Application Data底下
()裡面取決於你的使用者名字叫什麼
我查了一下發現網路上還沒有中文資料
只有幾筆英文資料
目前看不出來有危害性(因為當時鄙人手很賤按了他好幾下都沒有出現電腦冒煙爆炸的現象，故暫時判定無害...)
但是可以確定它有部份跟EXPLORER.exe是綁在一起的
所以我先用UNLOCKER把它解開然後刪除

→UNLOCKER可以在阿榮他家抓到

之後直接用一般常見對付USB病毒AUTORUN.inf的方法
建立一個資料夾取做ygmdrm.exe
讓病毒暫時無法再生
然後到regedit裡面去搜尋ygmdrm.exe相關的機碼
只有找到一筆
但我忘記紀錄是哪一筆
總之刪掉就好
然後............我就這樣子跑去睡覺了
隔天起來把昨天做的假檔案刪除
也沒有再出現ygmdrm.exe這個檔案
目前看起來應該是沒有大礙

參考資料:
http://camas.comodo.com/cgi-bin/submit?file=81d6c433f351cdf9b7212e192f0a1fe5ef9fb4afbb81d9a9acc175c932fa70fb&iframe=
→這篇比較DETAIL，但顯然是給專業人士看的 沒有解法(那還講那麼多)

http://www.prevx.com/filenames/3110241079044609572-X1/YGMDRM.EXE.html

→這篇講一堆但就也是沒有講解法....

http://virus-com.com/viruscom/viruscom_99505.html
→這一篇是在講這隻病毒的定義，各家軟體偵測到的名稱，感染地區(沒有亞洲啊奇怪)
以及解毒方式

各家防毒軟體對這隻病毒定義的名字:
K7AntiVirus: Backdoor.Win32.Prorat.19.i
F-Prot6: AdWare.Win32.BHO.emn
Jiangmin: AdWare.Win32.Cinmus.acu
F-Prot6: PSWTool.Win32.PassView
K7AntiVirus: Backdoor.Win32.Gootkit
Jiangmin: Backdoor.Win32.Koutodoor
Norton Antivirus: Trojan.Win32.PsExec
A-Squared: PSWTool.Win32.Lolyda
G-Data: Trojan-PSW.Win32.LdPinch
G-Data: Adware.Win32.WSB
Panda: Adware.Win32.Trojan.Downloader.SpySheriff

轉載一下他可能的行為:

YGMDRM.EXE has been seen to perform the following behavior:

Writes to another Process's Virtual Memory (Process Hijacking)

Executes a Process

Injects code into other processes

Found on infected systems and resists interrogation by security products

Uses rootkit techniques to conceal its presence, interrogation or removal

YGMDRM.EXE has been the subject of the following behavior:

Created as a process on disk

Executed from Temporary Folders

Executed as a Process

Has code inserted into its Virtual Memory space by other programs

Deleted as a process from disk

Copied to multiple locations on the system

但我覺得我的電腦沒有全部發生耶.....

再觀察一下好了

閱讀全文...

第二副AKG:K319

自從回到台灣之後根本是進入了瘋狂出走小朋友的狀態
其實大家好像都是這樣
我才放了快30張出去就唉唉叫
有人可是兩個星期放出一百張啊嘖嘖
不過在國外簡陋(?)的生活十個月之後回台灣看到這些新鮮的東西難免物慾大增
像我就是一回台灣隔兩天馬上就去買了black berry bold9700....
話說它的開箱我有點懶得寫....
不錯用就是了

回到主題
本來只是想到我的k315P在國外一年竟然自己發生耳機線包膜破損的狀況
而且還是一口氣有三個地方都裂開可以看到裡面的線
就在有天我去電子街幫朋友組電腦的時候突然經過弘達
想想去問一下保固有沒有修這種狀況
答案是有修啦
但akg只有一年保
這樣算起來我的已經在今年六月過保了
假如在保外送修的話
補一個破損的地方大約兩三百
我有三個地方.........等於可以買新的了
但我又不想重新再RUN IN一次同一隻耳機
接著我就隨口問了最近AKG還有出什麼不錯的耳塞
店家於是提到這支K319
那個時候我心裡面並沒有買耳機的預算(因為還有好多東西要買)
後來回到家裡上網看了一下才發現K319實力也是不容小覷
隔了幾天我就跑去試聽
雖然我已經有UE的SUPER FI 5 V(我突然想到這支我也完全沒有寫聽後感....)
可是我其實還是戴不慣耳道式耳機
而且耳道式耳機雖然隔音好音場也好
對於我這種常常要把耳機拿下來的人光是想到每次耳機拿下來都要重塞就懶了

左思右想之後我決定去試聽一下
去的時候我同時也請店家拿了幾耳機讓我比較一下
所以當天我試聽了鐵三角的cm 700ti(這支也曾經號稱耳塞之王 故有被我考慮過)
跟森海塞爾(現在中文好像正式翻作聲海)的MX580

店家說cm700ti是有RUN開的
但是聲音反而沒有我預期的讓人驚豔
我很少用鐵三角的耳機
但這支低音量還算可以
有彈性，量也沒有像其他低階耳機一樣稀薄
中高頻解析也不錯
但是........我個人沒有覺得女聲很毒啊
話說沒有戴海綿套的狀況我才戴不到五分鐘拿下來耳朵就覺得會痛了

接著就直接拿K319來聽
一樣是已經RUN開的
低音量明顯比K315P少
又或者應該要說K315P的低音那種隆隆聲讓聲音感覺好像蒙了一層東西
到了K319的時候低音雖然沒有K315P的厚重感
但是彈性跟顆粒感都很足夠
中高音也頗有水準

我剛好有帶super fi 5
所以也現場拿出來聽了一下
感覺上解析力還是super fi 5小勝
而且因為耳道式的關係
感覺上聲音離我更近
但雖然店家說試聽機至少有一百小時了
不知道為什麼我總覺得K319實力應該不只這樣子


接著試聽了森海塞爾的MX580
.........可以直接略過嗎
可能是因為前面的耳機等級比較高
也可能因為我沒有用過森海塞爾的耳機
也可能是這支真的還沒有RUN開
但是聲音整個有夠沙
低音比較多可是樂器分離度很低
感覺東西都黏在一起...



總而言之我最後還是掏了三張小朋友把它給帶回家了
這次的耳機盒比較硬
配件也比較多
有一長一短的線
k319本身是做短線版
可是那個線短的讓我不太能接受
然後它附的延長線
短的很短
長的很長......
另外它有附一個飛機轉接頭
唉呀我都已經回到台灣了才拿到這個.......

讓人又愛又恨的AKG標誌......大品牌=花大錢.......


話說如果沒有裝耳機海綿套我覺得它還滿容易從耳朵上面掉下來的
而且耳機海綿套裝上去之後低音也比較飽一點
所以個人推薦裝海綿套

目前RUN IN進度..........20小時
離RUN開還有好長一段路啊



補充一件悲慘的事情
就在決定要買之後
付完訂金的當晚我找到了k315p的保卡
發現我的k315p是在98年買的
是兩年保
99年開始AKG的耳機才變成一年保

......啊啊訂金可以還我嗎...

閱讀全文...

下一個倒數

十月過了一半
該有的飯局終於通通都到了一個段落
接下來南下的事情也準備的差不多了
對很多人來說退伍都是迎接人生的新階段
對我而言也是
但在迎接新階段之前顯然還有很多事情要做

我知道有很多別人
包括這次回來之後再見面的大家
很多人的生活都跟十個月前一樣
而我相信
接下來的十個月、二十個月
他們的人生也依然會如此
我也知道母親大人已經替我安排好工作
只要我乖乖去上班
乖乖往上爬
就可以有個平順的人生
不會是最出眾
也絕不會是最落後
我知道人生可以只求平安就好
但
對不起
我沒有辦法接受
我沒有辦法接受自己在人生1/3的年紀就對自己的生活感到滿意
我沒有辦法接受下班之後逛逛街看看電視玩電腦然後就去睡覺的愜意生活
我沒有辦法接受不是自己親自拼命掙來的東西 尤其是將來

所以就算會鼻青臉腫
還是讓我出去摔一次吧
我命很賤
沒有跌到爬不起來之前是不會甘願放棄的

閱讀全文...

持續

這是回到台灣的第五天了吧
第一天去拜訪親戚
第二天北上去看青年大使的成果發表然後在台北過夜
第三天拿退伍令然後回台中 然後終於拿到自己的機車
第四天出門修車 然後開始泡咖啡廳
當然是先去RETRO
晚上就開始有飯局了
六日則是一中誠品電子接這幾個地方都跑過一輪回味了一下
順便看看這十個月來的變化

明天也是要去咖啡廳泡一天好好的規劃一下接下來的事情
還好多事情都一團亂啊...

這次時差沒有出國時嚴重
可能是因為回台之前一兩星期的作息太亂了
一直處在很累睡不飽的狀態
所以回台灣可以好好的休息之後一下子就正常了
不過每天的七八點還是會開始想睡覺
而且早上八九點就自動醒來
生活一下子又變的健康了XD

接下來一兩週大概都還是有飯局吧
如果有機會的話
不知道能不能好好的把整個台灣都繞過一次
在真正踏入社會之前

閱讀全文...

時差混亂

再見加勒比海

曙光

家


海外的10個月真的是段漫長的故事
也真的發生了很多事情
.......其實都是不好的事情居多
技術團大使館大家私下都對我們很好
可是在公事上面很多做法我實在是無法苟同
技師跟技師之間彼此講對方壞話
而且還不當面講都是在背後偷偷講
幹
成熟一點好不好
你管水利工程你就去蓋你的新農場
跑來ICT一屁股坐下來跟我說"你們ICT中心我看不到產出 我的新農場那才叫有產出"
然後我老闆來了滿臉討好的跟他瞎扯淡
這是怎樣?
你要講不會講給他聽喔
我們去海外是去幫助當地人
不是去聽你們這些人發一些有的沒的牢騷
你們寂寞那是你們的問題
不要把戰火波擊到我們身上


使館也是
我們願意為你們服務
是因為我們出來海外應該要互相幫忙
可是那不包含你們上司交辦的事務你不想做結果叫我們去做好吧
就算需要幫忙
也麻煩口氣好點
這些事情並不是理所當然應該我們做

還有
滿嘴規定紀律
役男十點之後要在宿舍備勤
不得在外留宿
情節嚴重你要送回會內

結果真的有狀況了
團長你根本就完全知情
卻只是發發書面警告信
把四個人找來講講話
或是讓秘書來嗆個不要給臉不要臉
這樣子問題就會解決嗎?

我們家三個人還是常常晚上過十二點都只有兩個人在家

有時候甚至只有我自己在家

你不可能不知道
但你的處置方式是什麼?

其實跟華僑談戀愛沒什麼
只是在明知違反規定的狀況下還要COVER談戀愛的那個人
對方又不知感激
整個就很度爛
談戀愛可以啊
但不代表你可以把人帶回家裡睡吧
後來還乾脆出去外面一個月不回宿舍只有回來換洗
什麼鬼啊
是來當外交替代役
還是來當砲兵?

而且相當的我行我素
自以為自己很行
老闆交代要兩個人一起執行的工作
一個人硬要做到完
連走之前家裡大掃除都硬要自己掃
也不先告知我

我本來已經開始在整理了
你出來要整理也不會講
也不會告訴我你要整理哪裡
就自己一個人在那邊做
幹麻
你不會以為你很可憐只能自己整理吧?

然後明知道那是我的東西還故意丟掉
對
沒錯
房子是該要整理好了
但那不代表你有資格不經過我同意就把我的東西丟掉!!!

幸好回台灣不會再遇到
也希望再也不要遇到
長這麼大我很少這麼不爽一個人

最後
我想這十個月來我還是欠學長們一個抱歉
為了當初的莽撞
真的很對不起在搞不清楚狀況的底下亂罵人

當初的狀況其實已經不可考
事實就是資料被刪光光
但是老闆說他沒刪
學長們說有留
經過十個月我仍然無法確定到底哪裡有問題
反正我不管
全部的資料我通通備份起來而且帶回來
親自交接給學弟
這樣總不會有失誤了吧

老闆並不是我當初所想的那樣好
但至少這十個月我們相處的狀況也沒有之前那樣的糟
我也完成了我認為我該完成的工作
該啟用的系統也終於啟用了
HIS推上去在跑了
HR雖然阿里不達但反正已經啟用了
VRS如果下一屆狀況OK 理論上應該會順利在年底推上去
NEVIS那個是好不容易程式都照他們需求搞好了結果態度不積極
連打兩星期電話都不給我接 MAIL也不回
現在大概還是要放棄

教育訓練沒有上到我的目標 每個月一門課
不過上了四次總共60小時也算是有點經驗
我完成了過去從來不曾做過的工作
對我而言這樣子的結果 可以滿意了
所以說
這個故事就讓他到這邊結束吧

閱讀全文...