None

前幾天去幫忙修了幾台電腦…
第一台聽說之前疑似有聞到燒焦的味道，按開關以後風扇會轉，主機板上有個啥燈有亮，螢幕沒訊號，試了幾下拔掉其他不重要的硬碟光碟機沒用，重插顯示卡或記憶體也沒用，拔掉記憶體和顯示卡喇叭也都不會叫，後來才發現有條記憶體和插槽真的有燒焦的痕跡(第一次看到記憶體燒掉…)，但只插看起來正常的那條記憶體還是一樣，也許是 cpu 或主機板掛了？放棄…
第二台是搬來替換第一台的，不過大概硬體差太多了(Intel->AMD平台)，第一台電腦裡的 40GB 硬碟( Windows XP)用安全模式也開不了機，另外有顆 120GB 硬碟裡的 Windows 2000 也開不了機，當場也沒其他台電腦可以是是能不能進安全模式把不同的裝置都砍掉，最後只好用另一顆新灌好的 Windows XP Pro 20GB 硬碟當主硬碟，把第一台的 40GB 硬碟接上來(因為資料都在裡面)，也把第一台的顯示卡、數位電視卡和一條 256MB DDR400 ram 都放到第二台，只是這台似乎只能跑 DDR333，本來想上網下載防毒軟體，結果網路剛好是壞的，也沒辦法作 Windows update(連 sp1 都沒有，希望不要一上網就中獎？orz)
然後走路到附近弄第三台，這台超怪，上網可以用 MSN、yahoo messenger，但是只要開了 IE，過沒多久就會自動重開機，超怪的，趁重開機時進 bios 裡看溫度還滿正常的，移掉兩個疑似有毒的檔案會變成無法上網，系統是 Windows XP Home SP1，後來沒時間研究，進安全模式跑 sysclean (趨勢手動掃毒)就閃了…是有掃到幾個中毒檔案，聽說後來又用 Symantec 防毒掃過，目前似乎正常了，真是奇妙的中毒狀況？
最可怕的是，這兩個地方的網路環境都是電腦要自己撥 pppoe 連 ADSL(也就是自己有 public ip)，但是第三台電腦根本沒裝防毒(第一台電腦沒成功開機倒是沒看到啦)，這年代如果你不是對這方面特別有研究別這麼有信心啊…現在是隨便逛個網站也有機會中毒的年代，別說電腦裡沒什麼重要資料、不用網路銀行、網路下單或是有在做備份可以還原就好，哪天被當跳板打哪裡很麻煩的啊啊啊…

Google Pack
應該算是舊聞了，Google推出一次安裝Google多個軟體的方式，而且還包含Acrobat Reader、Norton AntiVirus 2005 Special Edition、Ad-Aware SE Personal等其他重要軟體，幾乎是裝完作業系統再裝這個packages就可以一次解決一堆必備軟體？！比較奇怪的是預設安裝居然不包含Google Talk，而最討厭的就是為了安裝方便不能選擇安裝路徑@_@ 我的 C: 早就空間不夠啦‧‧‧雖然該裝的也差不多都裝了。

我對趨勢網站或某些手法的印象一向不是很好，但去年的買一送一還是買了來裝家裡電腦加減用，最近即將到期，來了封通知信提醒客戶趕快升級順便推銷一下現在有啥優惠方案自是當然，但‧‧‧信裡就是不提到底幾月幾號到期是怎樣？！(妙的是軟體本身也沒寫)就只願意給序號和一個很難查詢的URL(不能一次複製貼上整串序號有夠麻煩吧？)真是一點都不體貼顧客，查了一下才發現似乎是到期一個月前發通知信。
到期以後考慮裝AntiVir好了‧‧‧

隨著OfficeScan發布了新版本，不管個人電腦、NB、Server終於都可以使用OfficeScan，不像之前Server得裝ServerProtect，終於可以擺脫難用的ServerProtect啦！
雖然要手動慢慢一台一台把ServerProtect移除換裝OfficeScan也是大工程，不過還是不錯啦，至少以後不用看到底中毒的電腦是在ServerProtect那邊還是OfficeScan那邊啦@_@
至於Anti Spyware的新功能倒是還沒試好不好用，有機會再測試測試啦！

再次到了奇妙的OfficeScan時間！
這兩天電腦老是在唉 C: 不夠，想說又沒裝什麼新軟體，到底是誰亂吃空間？看了一下才發現，咦，OfficeScan那目錄居然長到了兩三百MB！是發生什麼事了！？

找了其他兩三台電腦裡的 OfficeScan 大概都只佔 70~80MB 左右，再看了一下我電腦才發現，裡面多了一百多個VSS開頭的檔案(其他前六個檔案正常的電腦裡也有)，每個約 5xxKB~2MB 左右，這就難怪了．．．

但最近比較忙實在沒力氣研究和詢問這是怎麼回事了，乾脆直接移除重裝，這次仔細看了一下，剛裝完不過 52.7MB，這真是太奇妙啦．．．

昨天遇到一台中毒中得很奇妙的電腦，OfficeScan 有抓到的毒是 TROJ_DYFUCA.I和TSPY_SMALL.SN，但中毒檔案隔離之後，如果關機再開電腦(冷啟動)，OfficeScan又會抓到檔案中毒並將它隔離，這感覺就是沒清乾淨，妙的是如果是直接叫 Windows 重新開機(暖啟動)，就不會出現中毒檔案被隔離的訊息．．．真是太妙了！
由於自動清除似乎沒清乾淨，安裝移除程式移除Internet Optimizer又移不掉(TROJ_DYFUCA.I植入的) 好吧那我乖乖手動刪除機碼和檔案總行了吧，翻了翻有看到TROJ_DYFUCA.I 的機碼和檔案，TSPY_SMALL.SN 的機碼和檔案倒是找不到，但還有其他看起來很怪的東西，例如 ISTsvc，最妙的是有一個開機啟動的機碼，名稱是?(不確定半形或全形問號，執行一個 Winnt 底下的一個亂數檔名檔案)無法刪除，也無法更名，這真是超妙的啦．．．
由於刪不乾淨機碼和檔案(因為在執行中不讓我刪) ，有些機碼砍了還會再生，於是進安全模式手動刪除了 TROJ_DYFUCA.I、Internet Optimizer、ISTsvc 的機碼和相關檔案，包括那個刪不掉的機碼所執行的檔案，感覺暫時應該沒事了，但那個刪不掉的機碼我還是不知道怎麼解決．．．

上次提過趨勢的 Server 版防毒軟體 ServerProtect 的怪問題，但其實給企業的一般使用者使用的 OfficeScan 有時候也是很有趣的，這幾個月來至少碰過兩三次很奇妙的情況，在 OfficeScan 的主控台( 企業版產品嘛，當然是要有個主控台負責管理為數眾多的用戶端) 看中毒用戶端的紀錄是[清除失敗，隔離失敗]，於是我就跑去看那台中毒電腦是怎樣啦，不看還好，一看，咦．．．怎麼用戶端上的 OfficeScan 卻告訴我 [清除失敗，隔離成功]！再去被隔離檔案原來的目錄下看，嗯果然不見了，這是怎樣，還有中毒電腦本身隔離成功結果傳送紀錄到主控台上變成隔離失敗的喔！？
後來我真是很火大，啊本來以為是解不掉的情況還特地翻了一下怎麼手動解毒甚至還印下來，結果過去一看，呃．．．隔離成功，沒事．．．回去了，多遇到幾次真是覺得怎麼會有這麼搞笑的防毒軟體，真是令人受不了；後來同事才告訴我，他以前也遇過這種情況，後來詢問過後才知道，因為隔離檔案的時候會隔離到主控台，如果因為網路有問題還是怎樣這個隔離的動作失敗了(於是主控台那邊的紀錄是隔離失敗)，才會隔離在本機的隔離目錄(本機的紀錄則是隔離成功)這真的是很詭異，搞了半天紀錄的不同是因為其實兩邊的紀錄是指不同的動作，但還是沒辦法可以解決這種在主控台紀錄會誤導我們這些處理人員的情況，還是得到本機前才能知道到底隔離成功還是失敗，這不是搞笑嗎．．．

NB 防毒軟體更新期限即將到期那陣子，朋友推薦了一套個人使用免費的防毒軟體 AntiVir Personal Edition 用起來感覺還算不錯( 但我不是很常會碰到病毒所以不曉得偵測率好不好) 如果不是為了公司政策要求大概就會繼續用吧；昨天看到了一篇介紹寫得還滿清楚的，我覺得小麻煩的缺點也有講到，就是自動更新的時候還是會跳出個視窗要你確認( 更新結束還會再確認一次) 感覺就有點多此一舉﹔除了這小缺點以外都還不錯，推薦不想用盜版又不想花錢買防毒軟體的個人使用者看看
自由軟體技術交流網提供的 AntiVir 介紹

這幾天幫忙解毒遇到一個很有趣的 case
有台 NB (Win2000) 每次開機以後 hosts ( C:\winnt\system32\drivers\etc\hosts )檔都會被刪除，用趨勢的 tsc 掃毒掃掉了 WORM_RBOT.MQ，但是每次重開機 hosts 檔被砍掉的狀況依然，百思不得其解之際收集了系統資訊給我們的 TSP 支援廠商作分析，後來廠商請我給他們可疑的六個檔案作分析，於是我就拿著隨身碟去收集檔案啦
六個檔案中有五個我順利copy好了，可是有一個檔案 winslogin.exe 很神奇，用檔案總管 copy&paste 或 dos 模式用 copy 都好像順利有 copy 成功(沒有任何錯誤訊息，copy還有 1 file copied 的訊息)，但是在隨身碟就是沒看到檔案出現？這真的是很神奇，而且這個程式在執行中又沒辦法用工作管理員結束處理程序，後來我想說，那壓縮起來試試，結果winzip壓縮完只產生一個空檔案，還是不行，換用winrar才終於順利壓縮好，拿回自己電腦一開．．．啊，被 OfficeScan 判定為 WORM.AGOBOT.AQS
到此我終於想到發生了什麼事情，去查 ServerProtect 管理主控台才看到原來剛剛檔案複製以後沒出現都是 ServerProtect 清除病毒失敗隔離了~真是敗給它，隔離檔案那台NB也不顯示任何訊息誰知道啊簡直是莫名其妙=.= 再接著查下去，原來每次開機 hosts 檔不見也是因為被病毒寫入以後被判為 DOS_AGOBOT.GEN 而被隔離了，真是有夠搞笑的啦~
不過其他五個檔案好像還有疑似有問題的，這台 NB 的問題可能還沒完全解決．．．