今天中午，补天网站无法正常访问，kook给我打来电话让我看一眼。
我看了下发现网站无法正常打开，遂登录服务器查看。

arp -a 发现网关MAC地址发生变化（老检查了一眼就发现异常），因为正好之前更换了IP地址，所以原来做的arp -s脚本临时没启用。

立即
arp -s 网关ip 网关mac
arp -s 自己ip 自己mac

再查看，发现已经正常。
问题解决，但不能放过这小子。
祭起cain，网段扫描了一下，根据MAC和IP分别排序，立刻找到问题机器。
电话联系机房，找到那台服务器，要来了密码，开始帮助处理问题。

登录上去后，发现系统安装SQL等服务，但没装杀毒软件等。
arp -a 发现大量列表记录，问题肯定在这里了。
下载安装超级巡警AST，检查进程，最先发现一个问题
c:\windows\svchost.exe

大家注意svchost.exe如果是系统文件，是在system32目录下的，不在windows目录下的。
这个有问题，用ast查杀木马，没有查到问题。
杀掉svchost.exe进程，arp -a 看记录，发现恢复正常。
重新再运行，发现又不正常，再次杀掉，确认是这个家伙在搞ARP

继续。
进程中发现一个sb进程 C:\WINDOWS\Exsplorer.exe
仔细看看名字有什么不同。
从补天下载nod32安装，设置好升级服务器。重启。
重启后登录服务器，系统报告，c:\windows\exsplorer.exe - a variant of Win32/BlackHole 木马

NOD32果然很强大。

随即干掉，再次祭起超级巡警，仔细查看进程和开机加载程序。
发现开机系统以服务方式加载exsplorer.exe 和svchost.exe 这两个已经干掉了。
同时还有一个DLL也被加载了。C:\WINDOWS\system32\CryptWan.dll
网上查了一下没发现啥结果，估计得往坏处想。

继续检查发现
Wirelerss Zero Configuration 服务被替换成"C:\WINDOWS\Exsplorer.exe" /service

另有一个
Offices Sourcecz 服务 内容是 C:\WINDOWS\system32\svchost.exe -k netsvrcz
目前我还不知道这是什么玩意但是怀疑有问题。
于是停止该服务，发现该服务迅速重新启动起来了。

从补天下载 icesword 想看看系统进程有没啥异常，发现icesword无法启动。
报告驱动无法加载，那么最有可能的情况是 系统中存在木马，木马阻止了icesword的启动。

运气不错，AST可以运行。

继续，发现C:\WINDOWS\system32\winlogon.exe 进程被挂接了两个模块

一个是  C:\WINDOWS\system32\CryptWan.dll
一个是 c:\windows\system32\netsvrcz.dll

看来都不是啥好东西
我想这就可以解释 为什么 Offices Sourcecz 服务 会自动启动了。
尝试干掉，干掉失败。
仔细查，发现一个svchost.exe进程 加载了c:\windows\system32\netsvrcz.dll

立即干掉，再看winlogon，只剩下CryptWan.dll模块了。
继续干，失败。重启吧，这种情况下，
因为我已经把开机加载部分调用CryptWan.dll的那部分删掉了。
重启，运气不错，那个cryptwan.dll 和 netsvrcz.dll都没有被加载。但是多了一个。
 syterm.dll
一个svchost.exe正在调用 syterm.dll
一看名字，觉得又是一个SB程序。
随即干掉。
仔细检查。

发现原来另一个服务被替换，没有发现
NetMeeting Remote Desktop Shar  服务，调用C:\WINDOWS\system32\svchost.exe -k Syterm
干掉，TMD。
没发现异常。

至此 基本问题解决。
继续查一下系统帐号，发现guest帐号处于启用状态，但仍然在GUESTS组里，有问题。
不放心，找了mt.exe
mt.exe -chkuser

发现果然administrator帐号被克隆。TMD这鸟人。累不累。
好了现在干掉。

http://www.patching.net/bbs/viewdoc_64020_1.html