前言：

    其實這個小馬在我電腦上飼養(yǎng)有n年咯（保守估計3年多，

讓“肥馬”變成“火鍋”

    只是對這樣的插線程的，一直都不曉得雜殺，在TC大蝦的手把手的教導下，終于...

    一、發(fā)現(xiàn)

    用icesword發(fā)現(xiàn)pc啟動有個f.exe的線程產(chǎn)生，呵呵~ 當是手快 在icesword的進程查看里發(fā)現(xiàn)了f.exe對

    應(yīng)的程序名c:\winnt\system32\ .exe。用icesword文件管理把找到 .exe copy出來用notepad打開--查找

    dll發(fā)現(xiàn)一個異常dll名：gsys4.dll 使用icesword沒發(fā)現(xiàn)這個dll。

    二、查找

    我們先看看 那些文件里調(diào)用了這個dll：

    C:\WINNT\system32>findstr "gsys4.dll" * >> c:\x.txt

    在c:\x.txt里找到了3個文件：

    notepad.exe

    pwdbox101.exe

    .exe

    使用listdlls找找這個dll：

    C:\>listdlls -d gsys4.dl

    ListDLLs V2.23 - DLL lister for Win9x/NT

    Copyright (C) 1997-2000 Mark Russinovich

    http://www.sysinternals.com

    ------------------------------------------------------------------------------

    rundll32.exe pid: 1004

    Command line: C:\WINNT\system\rundll32.exe

    Base Size Version Path

    0x10000000 0xc000 C:\WINNT\system32\dgsys4.dll

    ------------------------------------------------------------------------------

    QQ.exe pid: 1228

    Command line: "C:\PROGRA~1\Tencent\qq\QQ.exe"

    Base Size Version Path

    0x021c0000 0xc000 C:\WINNT\system32\dgsys4.dll

    原來是 C:\WINNT\system32\dgsys4.dll

    好 目標基本都發(fā)現(xiàn)了：

    dgsys4.dll

    notepad.exe

    pwdbox101.exe

    .exe

    三、刪除

    如果我們先殺exe，你會發(fā)現(xiàn) 你刪不掉（其實是刪除后，又生存了），所以我們先把那dll刪掉：

    先把qq.exe rundll32.exe的進程kill掉，再用icesword把dgsys4.dll notepad.exe pwdbox101.exe

    .exe刪除，

電腦資料

    四、恢復

    把icesword.exe改名為icesword.com 或者使用shift+f10-->運行方式，運行。在注冊表里恢復exefile、

    txtfile的關(guān)聯(lián)：

    [HKEY_CLASSES_ROOT\exefile\shell\open\command]

    [HKEY_CLASSES_ROOT\txtfile\shell\open\command] 注意里面的特殊字符。

    后話：

    飼養(yǎng)長達3年多之久的下馬，終于變成“火鍋”咯~~

    thx TC