前言:
其实这个小马在我电脑上饲养有n年咯(保守估计3年多,
让“肥马”变成“火锅”
。 ps:俺电脑什么墙,什么杀毒的都没有))只是对这样的插线程的,一直都不晓得杂杀,在TC大虾的手把手的教导下,终于...
一、发现
用icesword发现pc启动有个f.exe的线程产生,呵呵~ 当是手快 在icesword的进程查看里发现了f.exe对
应的程序名c:\winnt\system32\ .exe。用icesword文件管理把找到 .exe copy出来用notepad打开--查找
dll发现一个异常dll名:gsys4.dll 使用icesword没发现这个dll。
二、查找
我们先看看 那些文件里调用了这个dll:
C:\WINNT\system32>findstr "gsys4.dll" * >> c:\x.txt
在c:\x.txt里找到了3个文件:
notepad.exe
pwdbox101.exe
.exe
使用listdlls找找这个dll:
C:\>listdlls -d gsys4.dl
ListDLLs V2.23 - DLL lister for Win9x/NT
Copyright (C) 1997-2000 Mark Russinovich
http://www.sysinternals.com
------------------------------------------------------------------------------
rundll32.exe pid: 1004
Command line: C:\WINNT\system\rundll32.exe
Base Size Version Path
0x10000000 0xc000 C:\WINNT\system32\dgsys4.dll
------------------------------------------------------------------------------
QQ.exe pid: 1228
Command line: "C:\PROGRA~1\Tencent\qq\QQ.exe"
Base Size Version Path
0x021c0000 0xc000 C:\WINNT\system32\dgsys4.dll
原来是 C:\WINNT\system32\dgsys4.dll
好 目标基本都发现了:
dgsys4.dll
notepad.exe
pwdbox101.exe
.exe
三、删除
如果我们先杀exe,你会发现 你删不掉(其实是删除后,又生存了),所以我们先把那dll删掉:
先把qq.exe rundll32.exe的进程kill掉,再用icesword把dgsys4.dll notepad.exe pwdbox101.exe
.exe删除,
电脑资料
《让“肥马”变成“火锅”》(http://meiwen.anslib.com)。四、恢复
把icesword.exe改名为icesword.com 或者使用shift+f10-->运行方式,运行。在注册表里恢复exefile、
txtfile的关联:
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_CLASSES_ROOT\txtfile\shell\open\command] 注意里面的特殊字符。
后话:
饲养长达3年多之久的下马,终于变成“火锅”咯~~
thx TC