最近好像盛行新版的PWSteal.Lineage 會產生以下檔案 C:\WINDOWS\System32\Associates.exe C:\WINDOWS\System32\Kerne12.exe C:\WINDOWS\system\rundll32.exe C:\WINDOWS\rundll32.exe C:\WINDOWS\rundll132.exe C:\WINDOWS\rundll32.exe 正版的rundll32.exe 是在system32裡面喔~ 出現在其他地方的...就是惡意程式啦 砍吧 還會產生以下機碼： F3 - REG:win.ini: load=C:\WINDOWS\System32\Kerne12.exe O4 - HKLM\..\Run: [Associates] C:\WINDOWS\System32\Associates.exe O4 - HKLM\..\Run: [LTT2] C:\WINDOWS\system\rundll32.exe O4 - HKLM\..\Run: [Regrx] C:\WINDOWS\rundll32.exe O4 - HKLM\..\Run: [Regro] C:\WINDOWS\rundll132.exe O4 - HKCU\..\Run: [load] C:\WINDOWS\rundll32.exe O4 - HKLM\..\Run: [UpdaterUI] C:\WINDOWS\System32\UpdaterUI.exe ※補充 若沒有裝McAfee的話，電腦裡是不會有這個啟動項，也不會有UpdaterUI.exe這檔案 大致就是這些，檔案砍掉、機碼刪掉 就ok了 舊版的呢?? 找出svhost32.exe砍掉 把F3 - REG:win.ini: load="C:\WINDOWS\svhost32.exe" fix掉就好啦 或F3 - REG:win.ini: load=C:\PROGRA~1\svhost32.exe 反正它不是在windows就是在program files那邊 好砍得很 這是到目前的心得整理 希望高手前輩們指正、補完 <(_ _)> -- 在PTT蹲這麼久...終於在2005年8月28號看到籃爆了... 【看板列表】 批踢踢實業坊 看板《Hate》 [←][q]主選單 [→][r]閱讀 [↑↓]選擇 [PgUp][PgDn]翻頁 [S]排序 [/]搜尋 [h]求助 編號 看 板 類別 轉信 中 文 敘 述 人氣 板 主 ● 1 ˇHate 心情 ◎路洨比，還我牛~~不對，是相機 爆!loverlover/zse -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.127.70.34