PCSHARE是一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏.
PCSHARE服务端运行后一般释放三个文件(以y开头的随机文件名),而且文件属性可以被设置为"系统"|"隐藏"|"只读" y???????.d1l (位置在%SystemRoot%\System32下) y???????.sys (位置在%SystemRoot%\System32\drivers下)
y???????.dll (位置在%SystemRoot%\System32)
需要在安全模式下才能正常清理,附dos命令行模式下的清理方法:
首先在系统盘根目录下运行 dir y*.d1l/s/a 检测以y开头,d1l为后缀的文件
注:比如找到yuadtsdf.d1l(随机的),以下的y*都是指yuadtsdf.d1l
然后执行
|
attrib -r -h -s %SystemRoot%\System32\y*.d1l attrib -r -h -s %SystemRoot%\System32\y*.dll attrib -r -h -s %SystemRoot%\System32\drivers\y*.sys del %SystemRoot%\System32\y*.d1l del %SystemRoot%\System32\y*.dll del %SystemRoot%\System32\drivers\y*.sys |
本站之前有发表一篇关于清理顽固dll的另类方法,可供参考[ 文章地址 ]
推荐一款木马检测软件ICESWORD,基本上所有的木马都可以检测出来(包括内核级别的后门)
清理顽固dll的另类方法
环境: 操作系统 Win2000Server(磁盘格式为ntfs格式,如果您采用fat32或者其他,本方法就不适用了) 浏览器 IE 6.0 杀毒软件 Norton8.0
症状: 存在恶意插件2个,导致ie访问速度变慢,经常弹出恶意广告,无法正常卸载和删除,norton查杀不了
解决流程:
一.查找windows常见的自启动项,将可疑的启动项目移除(重启后病毒依然存在)
二.分析后发现在program files目录下的2个目录中的dll在搞鬼,删除时提示文件正在使用中,搜索注册表,查找该dll文件,找到了5处,把对应的键都删除,重启后这两个插件所调用的dll还是不能删除,说明这两个插件还有自我保护的程序,如果检测到生存环境遭到破坏就自动再还原出来.
三.如何不让他们抢先进驻到内存的避风港中? 我取消了两个dll文件的ntfs权限,原本是administrators和system组的完全控制,现在都删除了,重启后恶意dll没办法加载到内存中了,这下就可以轻松剿灭了.
