恼人的DLL后门完全清除秘诀(4)

　　后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息，可以看到，SvchostDLL.dll已经插入到Svchost进程中了，在根据"直接使用现有组里的一个服务名，但是本机没有安装的服务"的提示，我们可以断定，在"管理工具"—"服务"中会有一项新的服务。通过查看可以证明：此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。

　　我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下，查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNT\system32目录下的后门文件即可。

　　2，BITS.dll

　　这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即"修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门"。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，我们可以看到bits.dll已经插入到Svchost进程当中。

　　好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:\WINNT\system32\bits.dll。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%\System32\rasauto.dll，退出，重启。之后删除WINNT\system32目录下的bits.dll即可。