5.18，诺顿闹出那起乌龙事件后，关注了这个后门两天。

今天，得到了一个样本（卡巴斯基报：Backdoor.Win32.Haxdoor.kn），运行了一下。

样本运行后，创建下列两个后门文件：

C:\windows\system32\p79bsksb.sys
C:\windows\system32\pasksa.dll

SRENG日志可见异常项目：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pasksa]
    <WinlogonNotify: pasksa><pasksa.dll>  [N/A]
==================================
文件关联
.TXT  Error. [C:\windows\notepad.exe %1]

.CHM  Error. ["hh.exe" %1]

.INI  Error. [C:\windows\System32\NOTEPAD.EXE %1]
___________________________________________________

下面这个服务项，SRENG日志中没有；但用autoruns可以看到：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\p79bsksb

病毒文件及其注册表项可用IceSword搞掂。文件关联可用SRENG修复。