又有新东西啦 ( ￣▽￣)ˊ＊*＊ C:\Windows\System32\basesrv32.dll C:\Windows\System32\basegvaf32.dll 这两个档案用了一个很酷的启动法 据说没有检测工具可以检测这个登录区段 [HKLM\system\currentcontrolset\control\session manager\subsystems] "windows"= %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv32,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 但是从SRENG可以看到一点端倪 Running Processes [PID: 436 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [C:\WINDOWS\system32\basesrv32.dll] [PID: 680 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [C:\WINDOWS\system32\basesrv32.dll] 新版本的CF已经把解法加入了 之所以要解法是因为 如果贸然删除basesrv32.dll这个档案 会造成蓝屏死机 比较建议板友 每次扫LOG 都要重新下载ComboFix 确保使用的是最新版 不然万一有热心的板友 从SRENG里面看到这个怪档案 就直接用FILE::删除 以上... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 61.64.87.20