前言:
其實這個小馬在我電腦上飼養(yǎng)有n年咯(保守估計3年多,
讓“肥馬”變成“火鍋”
。 ps:俺電腦什么墻,什么殺毒的都沒有))只是對這樣的插線程的,一直都不曉得雜殺,在TC大蝦的手把手的教導下,終于...
一、發(fā)現(xiàn)
用icesword發(fā)現(xiàn)pc啟動有個f.exe的線程產(chǎn)生,呵呵~ 當是手快 在icesword的進程查看里發(fā)現(xiàn)了f.exe對
應(yīng)的程序名c:\winnt\system32\ .exe。用icesword文件管理把找到 .exe copy出來用notepad打開--查找
dll發(fā)現(xiàn)一個異常dll名:gsys4.dll 使用icesword沒發(fā)現(xiàn)這個dll。
二、查找
我們先看看 那些文件里調(diào)用了這個dll:
C:\WINNT\system32>findstr "gsys4.dll" * >> c:\x.txt
在c:\x.txt里找到了3個文件:
notepad.exe
pwdbox101.exe
.exe
使用listdlls找找這個dll:
C:\>listdlls -d gsys4.dl
ListDLLs V2.23 - DLL lister for Win9x/NT
Copyright (C) 1997-2000 Mark Russinovich
http://www.sysinternals.com
------------------------------------------------------------------------------
rundll32.exe pid: 1004
Command line: C:\WINNT\system\rundll32.exe
Base Size Version Path
0x10000000 0xc000 C:\WINNT\system32\dgsys4.dll
------------------------------------------------------------------------------
QQ.exe pid: 1228
Command line: "C:\PROGRA~1\Tencent\qq\QQ.exe"
Base Size Version Path
0x021c0000 0xc000 C:\WINNT\system32\dgsys4.dll
原來是 C:\WINNT\system32\dgsys4.dll
好 目標基本都發(fā)現(xiàn)了:
dgsys4.dll
notepad.exe
pwdbox101.exe
.exe
三、刪除
如果我們先殺exe,你會發(fā)現(xiàn) 你刪不掉(其實是刪除后,又生存了),所以我們先把那dll刪掉:
先把qq.exe rundll32.exe的進程kill掉,再用icesword把dgsys4.dll notepad.exe pwdbox101.exe
.exe刪除,
電腦資料
《讓“肥馬”變成“火鍋”》(http://m.msguai.com)。四、恢復
把icesword.exe改名為icesword.com 或者使用shift+f10-->運行方式,運行。在注冊表里恢復exefile、
txtfile的關(guān)聯(lián):
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_CLASSES_ROOT\txtfile\shell\open\command] 注意里面的特殊字符。
后話:
飼養(yǎng)長達3年多之久的下馬,終于變成“火鍋”咯~~
thx TC