PcShare,PcClient后门手工解决方案
这几天PcShare,PcClient等驱动级的木马开始流行,极尽隐藏之事,不借助一些工具根本无法清除干净,下面就用户可能遇到的一些情况分别给予说明,并介绍手工查杀的方法。
Backdoor/PcShare.ch木马运行后,在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys,我的系统盘在c盘,这个文件的路径为C:\WINDOWS\system32\drivers\下面,并在C:\WINDOWS\system32\目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll,它中间那个是数字1,而不是字母l。注册表中还有相关键值,保证了每次启动时驱动都能够被加载,甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。
打开工具IceSword,在pluto1313版主的网络优盘中有下,点击进程图标,会看到有红色的进程浏览器Iexplorer在运行,表明它是一个隐藏进程。不要试图结束它,没有用的。再点击SSDT图标,查看其中红色的被修改的服务地址,在我做试验的这台机器上如下图所示,病毒hook了显示注册表和遍历进程的函数地址,因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。
准备工具:KillFiles(同样到上面版主的空间去下),最好放到桌面以方便运行。
下面介绍一种比较安全的方式来清除该病毒,重启计算机进入安全模式。
1.进入C:\WINDOWS\system32\drivers\下面,删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具,在文件名对话框中输入Ywvpysxl.d1l,注意这个后缀中间是数字1,最后一个是字母l,一个都不要输错,否则会找不到该文件,确保上面的单选框为"直接删除",点击确定就可以了,如果删除成功,会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器,(在运行对话框中输入regedit),在注册表中以Ywvpysxl作为关键字搜索,将搜到的键值删除即可。至此,病毒被成功清除。
第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成,在网上就可以搜索到,运行后点击Process标签,让进程以进程树的方式显示,这时可以看到IE仍在运行,但它的父进程是svchost.exe,注意系统中会有很多的svchost进程,不要全部结束,结束启动IE的进程就可以了,也就是IE进程上面的svchost文件,选中这个svchost进程,选鼠标右键中的Kill Process Tree,点确定就可以了,就结束了病毒体的运行,然后到C:\WINDOWS\system32\下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦,还是推荐使用我提到的KillFiles工具,不过它不是很完善,一些情况下会出错,本人不对用户误使用该程序造成的损失负任何责任。
PcShare,PcClient等病毒的变种清除方法大都如此,用户可以参考此文清除其他的变种。
