一天正在发呆，QQ上的一个朋友向我求救：“我的网站被黑了，首页给换了，SOS！”。最近正好无事，索性就帮帮他吧。

    收复失地

    刚刚准备在浏览器上输入他网站的地址，结果却停了下来：如果入侵者在首页挂了马，我岂不是也要遭殃？所以我先用查看挂马的工具检查了一下。没有不可见窗体、没有JS调用、没有Object，OK。进了首页看到上面只有入侵者的名字和一些图片，网站里边的具体情况待会再看吧。向朋友要了管理员的密码，用3389登录上去一探究竟。

    先看看服务器用户的情况，输入“net user”后发现“tsinternetuser”这个用户比较显眼。依稀记得tsinternetuser是Windows2000的终端用户，但在Windows2003中并不存在。怕不肯定，我去百度查询了一下，又问了问朋友，都说不应该有这个用户。看来这次入侵者弄巧成拙了，当我检查管理员组后，发现并不存在此用户，初步猜测它应该是克隆出来的。先打开Regedt32将自己的权限提上去：打开Regedit，来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\account\”，对比管理员和“tsinternetuser”中二进制键F的数值，结果发现是一样的。由此断定用户“tsinternetuser”被克隆成管理员。接着检查其他用户，没有发现被克隆的痕迹。删除“tsinternetuser”，不过事情到这里并没完。

    检查后门

    祭出“冰刃”，它可是后门的克星，大部分的妖魔鬼怪在它面前都会无所遁形。先用冰刃查看进程，发现并没有隐藏进程（红色标示）。再查看端口，发现1066端口在监听。此端口不是常用端口且启动它的程序也不常见。

    在进程选项中查看“systemram.exe”，发现此进程还有个芯片图标，难怪刚才没注意到。先把他结束掉，但别着急删除。我们先看看启动组是否正常，看了一下没什么问题。但在查看服务时发现了一个熟悉的身影：Radmin。

    程序本身也正好是监听1066端口的程序。这下好办了，删除程序、卸载服务。Radmin还是很好清除的（在网上搜索，发现这是百世经纶修改版Radmin，难怪没有发现admdll.exe和raddrv.dll。但它在服务方面就做得太差了，让人一看就能知道是后门服务）。