今天中午，补天网站无法正常访问，kook给我打来电话让我看一眼。

我看了下发现网站无法正常打开，遂登录服务器查看。

arp -a 发现网关MAC地址发生变化（老检查了一眼就发现异常），因为正好之前更换了IP地址，所以原来做的arp -s脚本临时没启用。

立即
arp -s 网关ip 网关mac
arp -s 自己ip 自己mac

再查看，发现已经正常。

问题解决，但不能放过这小子。

祭起cain，网段扫描了一下，根据MAC和IP分别排序，立刻找到问题机器。

电话联系机房，找到那台服务器，要来了密码，开始帮助处理问题。

登录上去后，发现系统安装SQL等服务，但没装杀毒软件等。

arp -a 发现大量列表记录，问题肯定在这里了。

下载安装超级巡警AST，检查进程，最先发现一个问题

c:\windows\svchost.exe

大家注意svchost.exe如果是系统文件，是在system32目录下的，不在windows目录下的。

这个有问题，用ast查杀木马，没有查到问题。

杀掉svchost.exe进程，arp -a 看记录，发现恢复正常。

重新再运行，发现又不正常，再次杀掉，确认是这个家伙在搞ARP

继续。

进程中发现一个sb进程 C:\WINDOWS\Exsplorer.exe

仔细看看名字有什么不同。

从补天下载nod32安装，设置好升级服务器。重启。

重启后登录服务器，系统报告，c:\windows\exsplorer.exe - a variant of Win32/BlackHole 木马

NOD32果然很强大。

随即干掉，再次祭起超级巡警，仔细查看进程和开机加载程序。

发现开机系统以服务方式加载exsplorer.exe 和svchost.exe 这两个已经干掉了。

同时还有一个DLL也被加载了。C:\WINDOWS\system32\CryptWan.dll

网上查了一下没发现啥结果，估计得往坏处想。

继续检查发现

Wirelerss Zero Configuration 服务被替换成"C:\WINDOWS\Exsplorer.exe" /service

另有一个

Offices Sourcecz 服务 内容是 C:\WINDOWS\system32\svchost.exe -k netsvrcz

目前我还不知道这是什么玩意但是怀疑有问题。

于是停止该服务，发现该服务迅速重新启动起来了。

从补天下载 icesword 想看看系统进程有没啥异常，发现icesword无法启动。

报告驱动无法加载，那么最有可能的情况是 系统中存在木马，木马阻止了icesword的启动。

运气不错，AST可以运行。

继续，发现C:\WINDOWS\system32\winlogon.exe 进程被挂接了两个模块

一个是  C:\WINDOWS\system32\CryptWan.dll
一个是 c:\windows\system32\netsvrcz.dll

看来都不是啥好东西

我想这就可以解释 为什么 Offices Sourcecz 服务 会自动启动了。

尝试干掉，干掉失败。

仔细查，发现一个svchost.exe进程 加载了c:\windows\system32\netsvrcz.dll

立即干掉，再看winlogon，只剩下CryptWan.dll模块了。

继续干，失败。重启吧，这种情况下，

因为我已经把开机加载部分调用CryptWan.dll的那部分删掉了。

重启，运气不错，那个cryptwan.dll 和 netsvrcz.dll都没有被加载。但是多了一个。

 syterm.dll

一个svchost.exe正在调用 syterm.dll

一看名字，觉得又是一个SB程序。

随即干掉。

仔细检查。

发现原来另一个服务被替换，没有发现

NetMeeting Remote Desktop Shar  服务，调用C:\WINDOWS\system32\svchost.exe -k Syterm

干掉，TMD。

没发现异常。

至此 基本问题解决。

继续查一下系统帐号，发现guest帐号处于启用状态，但仍然在GUESTS组里，有问题。

不放心，找了mt.exe

mt.exe -chkuser

发现果然administrator帐号被克隆。TMD这鸟人。累不累。

好了现在干掉。

 哇,难怪今天发照片祝贺

哈哈,老大果然累

偶最先发现的，奖励点分吧。1000就够了。

嗯.不错.向老大学习了

理论和实践的完美结合,能解决问题,同时又可以把经验整理好写出来.真不错,很感慨.