可能因為年關將近 沉寂已久的kavo系列最近又有動作 目前遇到的case情形都是差不多模式，不過檔名倒是大更換 機碼掛載的部份 同樣在Run底下 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 從本來的 <kxvo><C:\WINDOWS\system32\kxvo.exe> <jvvo><C:\WINDOWS\system32\j3ewro.exe> 換成 <dorfgwe><C:\WINDOWS\system32\uret463.exe> <anhtaaa><C:\WINDOWS\system32\kacsde.exe> 19號從新log看到 <ertyuop><C:\WINDOWS\system32\rttrwq.exe> <anhtaas><C:\WINDOWS\system32\cvsdfw.exe> ShellExecuteHooks [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 這部份帶的值比較不一定，從早期的EBxx FCxx B4xx BitkvX到最近的 <{BB4C402F-882A-4526-8C08-51278EA437C1}><C:\WINDOWS\system32\afmainX.dll> 接下來是執行程序掛載的 從之前 C:\windows\system32\kxvoX.dll C:\windows\system32\jwedsfdoX.dll C:\windows\system32\bitkvX.dll ..繁多不及備載 XD 換成 C:\WINDOWS\system32\lhgjyitX.dll C:\WINDOWS\system32\afmainX.dll C:\WINDOWS\system32\godertX.dll 19號從新log看到 C:\WINDOWS\system32\mkfghtX.dll C:\WINDOWS\system32\otreweX.dll P.S X為累加數 Autorun程序 大部分都是y319s.exe以及ud.exe兩個 用命令提示字元的解法，可以使用下列四個指令來解除 taskkill attrib del ren or rename 參數或是用法可以在後面輸入 /? 或是 直接參考 18006 或是等新版工具加入這些list XD P.S 此次也會生成卡巴的假服務 C:\windows\system32\drivers\klif.sys -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.87.151.157 ※ 編輯: faris1003 來自: 219.87.151.157 (01/20 14:33)