又有新東西啦 ( ￣▽￣)ˊ＊*＊ C:\Windows\System32\basesrv32.dll C:\Windows\System32\basegvaf32.dll 這兩個檔案用了一個很酷的啟動法 據說沒有檢測工具可以檢測這個登錄區段 [HKLM\system\currentcontrolset\control\session manager\subsystems] "windows"= %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv32,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 但是從SRENG可以看到一點端倪 Running Processes [PID: 436 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [C:\WINDOWS\system32\basesrv32.dll] [PID: 680 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [C:\WINDOWS\system32\basesrv32.dll] 新版本的CF已經把解法加入了 之所以要解法是因為 如果貿然刪除basesrv32.dll這個檔案 會造成藍屏死機 比較建議板友 每次掃LOG 都要重新下載ComboFix 確保使用的是最新版 不然萬一有熱心的板友 從SRENG裡面看到這個怪檔案 就直接用FILE::刪除 以上... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.64.87.20