5up3rh3i'blog［提供有偿web代码安全审计服务］

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://superhei.blogbus.com/logs/1806166.html

前言：
   其实这个小马在我电脑上饲养有n年咯（保守估计3年多。 ps：俺电脑什么墙，什么杀毒的都没有））

只是对这样的插线程的，一直都不晓得杂杀，在TC大虾的手把手的教导下，终于...

一、发现
用icesword发现pc启动有个f.exe的线程产生，呵呵~ 当是手快 在icesword的进程查看里发现了f.exe对

应的程序名c:\winnt\system32\ .exe。用icesword文件管理把找到 .exe copy出来用notepad打开--查找

dll发现一个异常dll名：gsys4.dll 使用icesword没发现这个dll。

二、查找
我们先看看 那些文件里调用了这个dll：
C:\WINNT\system32>findstr "gsys4.dll" * >> c:\x.txt

在c:\x.txt里找到了3个文件：
notepad.exe
pwdbox101.exe
.exe

使用listdlls找找这个dll：
C:\>listdlls -d gsys4.dl

ListDLLs V2.23 - DLL lister for Win9x/NT
Copyright (C) 1997-2000 Mark Russinovich
http://www.sysinternals.com

------------------------------------------------------------------------------
rundll32.exe pid: 1004
Command line: C:\WINNT\system\rundll32.exe

  Base        Size      Version         Path
  0x10000000  0xc000                    C:\WINNT\system32\dgsys4.dll
------------------------------------------------------------------------------
QQ.exe pid: 1228
Command line: "C:\PROGRA~1\Tencent\qq\QQ.exe"

  Base        Size      Version         Path
  0x021c0000  0xc000                    C:\WINNT\system32\dgsys4.dll

原来是 C:\WINNT\system32\dgsys4.dll

好 目标基本都发现了：
dgsys4.dll
notepad.exe
pwdbox101.exe
.exe

三、删除
如果我们先杀exe，你会发现 你删不掉（其实是删除后，又生存了），所以我们先把那dll删掉：
先把qq.exe rundll32.exe的进程kill掉，再用icesword把dgsys4.dll notepad.exe pwdbox101.exe 

.exe删除。

四、恢复
把icesword.exe改名为icesword.com 或者使用shift+f10-->运行方式，运行。在注册表里恢复exefile、

txtfile的关联：
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_CLASSES_ROOT\txtfile\shell\open\command] 注意里面的特殊字符。

后话：
   饲养长达3年多之久的下马，终于变成“火锅”咯~~