PcShare,PcClient后门手工解决方案

这几天PcShare,PcClient等驱动级的木马开始流行,极尽隐藏之事,不借助一些工具根本无法清除干净,下面就用户可能遇到的一些情况分别给予说明,并介绍手工查杀的方法。

Backdoor/PcShare.ch木马运行后,在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys,我的系统盘在c盘,这个文件的路径为C:/WINDOWS/system32/drivers/下面,并在C:/WINDOWS/system32/目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll,它中间那个是数字1,而不是字母l。注册表中还有相关键值,保证了每次启动时驱动都能够被加载,甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。

打开工具IceSword,在pluto1313版主的网络优盘中有下,点击进程图标,会看到有红色的进程浏览器Iexplorer在运行,表明它是一个隐藏进程。不要试图结束它,没有用的。再点击SSDT图标,查看其中红色的被修改的服务地址,在我做试验的这台机器上如下图所示,病毒hook了显示注册表和遍历进程的函数地址,因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。

准备工具:KillFiles(同样到上面版主的空间去下),最好放到桌面以方便运行。

下面介绍一种比较安全的方式来清除该病毒,重启计算机进入安全模式。
1.进入C:/WINDOWS/system32/drivers/下面,删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具,在文件名对话框中输入Ywvpysxl.d1l,注意这个后缀中间是数字1,最后一个是字母l,一个都不要输错,否则会找不到该文件,确保上面的单选框为"直接删除",点击确定就可以了,如果删除成功,会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器,(在运行对话框中输入regedit),在注册表中以Ywvpysxl作为关键字搜索,将搜到的键值删除即可。至此,病毒被成功清除。

第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成,在网上就可以搜索到,运行后点击Process标签,让进程以进程树的方式显示,这时可以看到IE仍在运行,但它的父进程是svchost.exe,注意系统中会有很多的svchost进程,不要全部结束,结束启动IE的进程就可以了,也就是IE进程上面的svchost文件,选中这个svchost进程,选鼠标右键中的Kill Process Tree,点确定就可以了,就结束了病毒体的运行,然后到C:/WINDOWS/system32/下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦,还是推荐使用我提到的KillFiles工具,不过它不是很完善,一些情况下会出错,本人不对用户误使用该程序造成的损失负任何责任。

PcShare,PcClient等病毒的变种清除方法大都如此,用户可以参考此文清除其他的变种。

PcShare,PcClient 后门手工解决方案相关推荐

  1. 手动杀毒专题(黑防VIP)

    手动杀毒专题(黑防VIP) 大家觉得好就鼓励下我啊~~~ 不回帖的请离开!~ 手动杀毒专题! 现在在QQ上提问,中了毒以后怎么办.其实中毒以后的解决办法只有几种 1..杀毒软件杀,有时可能一种杀毒软件 ...

  2. SLAM综述阅读笔记六:基于图像语义的SLAM调研:移动机器人自主导航面向应用的解决方案 2020

    转自[[论文阅读]A survey of image semantics-based visual simultaneous localization and mapping 语义视觉SLAM综述 - ...

  3. 授之以鱼不如授之以渔!五分钟教会您手工查杀***!

    授之以鱼不如授之以渔!五分钟教会您手工查杀***! 经常看到有人求助- 为什么我的主页被改了,死活改不回来呀? 这个进程是不是正常进程呀? 这个程序是什么程序呀?为什么死活杀不掉呢? ....... ...

  4. windows系统各进程详解

    系统各进程详解 下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别. system Idle Process系统进程介绍 al ...

  5. 服务发现对比:Zookeeper vs. etcd vs. Consul

    欢迎关注方志朋的博客,回复"666"获面试宝典 服务发现工具 手动配置 ZooKeeper ETCD Consul 结论 我们拥有的服务越多,如果我们使用预定义的端口,就会发生冲突 ...

  6. 病毒导致win2003服务器共享丢失业务中断

    现象描述: 某呼叫中心采用2台win2003机器做集群,映射出共享盘符收集坐席台录音文件.维护人员反映录音失败,查找不到新的录音文件生成,并且ping 录音文件服务器,网络时通时不通,大量客户端被反复 ...

  7. 电脑很卡~~~~为什么???

    问题:最近电脑不知道为什么,只要连接USB下载或是用QQ视频聊天,电脑就很卡,速度超级慢,连千千静听播放的速度都很慢,唱的歌都是断断续续的! 用杀毒软件又查不到毒,漏洞全补好了,系统又优化了,还是那样 ...

  8. Turbo Autoencoder: Deep learning based channel code for point-to-point communication channels

    Turbo Autoencoder: Deep learning based channel code for point-to-point communication channels Abstra ...

  9. 联想电池召回网上登记 Troubleshooting

    前几天被公司的IT机器人强制安装了ThinkPad Battery Check 工具,运行后一检查,通知我笔记本电池需要召回,然后就自动跳转到某一个网页要求我填写ThinkPad电池召回信息表,我认真 ...

  10. XP系统启动时滚动条总是时间很长

    选择"开始"菜单中的"运行"命令,在"运行"对话框键入"regedit"命令后回车,即可启动注册表编辑器,在注册表中找H ...

最新文章

  1. JavaWeb(五)之JSTL标签库
  2. boost::safe_numerics模块实现数组索引值可以超出数组边界的测试程序
  3. mybatis(mapper映射文件)
  4. 《数据库原理与应用》(第三版)第 1 章 数据库概述 习题参考答案
  5. go语言for循环中修改临时变量无效
  6. vs中寄存器调试窗口可看出程序是多少位运行的及cpu寄存器使用情况
  7. ORB-SLAM2中的Loop Closinng中DetectLoopCandidates函数解析
  8. mysql快速上手3
  9. Linux版本的SVN客户端,linux 下安装 subversion(svn) 客户端
  10. 《TCP/IP详解》学习笔记(一):基本概念
  11. python -- configparse读取配置文件
  12. 前端基础进阶之Promise
  13. 【教程】Android系统手机 菜鸟扫盲汇总
  14. xvidcore交叉编译
  15. 服务器 linux raid驱动,Dell PowerEdge R710服务器安装CentOS 5.5加载Raid卡驱动 | 系统运维...
  16. Android之数据统计TalkingData集成
  17. 为什么科技互联网公司越来越重视数学?
  18. java读书网站课程设计_Java课程设计
  19. ng alain的简单使用
  20. 2016年4月计算机组成原理试题答案,2019年4月江苏自考02318计算机组成原理模拟试题及答案...

热门文章

  1. Ruby 从入门到掌握视频教程(31 个视频)
  2. Mac电脑怎么设置动态桌面,heic动态桌面壁纸怎么使用
  3. C4D插件X-Particles粒子特效(八)
  4. MySQL卸载教程 (Windows版)
  5. 分享PC魔音Morin v2.6.5听歌·音乐神器
  6. 在线URL解码还原工具
  7. 计算机辅助设计及工程分析的特点,EDA技术的简单介绍及特点分析
  8. 一台电脑群控上百台手机是什么样?
  9. ImageJ -介绍与安装
  10. hh-suite使用教程