PcShare木马是一款强大的远程控制软件,其具有国内首创的驱动隐藏端口技术,可以号称是系统完美的内核后门了。即使是在强悍的杀毒软件,有时都会被其蒙蔽了眼睛,以下笔者拿出二副图片做为铁证(图01)(图02)。
图01 瑞星查杀结果
图02 卡巴斯基查杀界面
笔者在没有对其木马做任何处理的情况下,它就可以逃过杀毒软件的查杀,可见其木马的隐蔽性是很强的。至于如何清除,我们从以上已经看到了,光靠杀软是肯定不行的,所以这里我们就联合手动的方法将其木马清除。
利用Find.exe工具查找木马
为了清除木马的真实性,笔者在自己的本机内,运行了其木马的服务端文件,这样木马就会被成功加载到系统内,从而控制了整个电脑。接下来我们如何清除其加载的木马呢?这里依次单击"开始"→"运行"对话框,在弹出的"运行"对话框内,输入"CMD"命令回车,就可将"命令提示"对话框打开,或者将系统里的CMD文件,复制粘贴到某目录下,并且双击该CMD执行文件,也可达到弹出"命令提示"对话框的目的(图03)。
图03 打开CMD命令提示对话框
接下来将目录跳转到Find.exe工具目录处,然后在光标闪烁的位置处,输入Find –f命令回车,此时便可查找出木马隐藏的路径C:\program Files\dzgmhncg.sys,以及木马服务名"1 hidden service"(图04)。
图04 利用Find工具查找出木马隐藏路径
既然知道了木马路径以及其服务名称,我们先禁用其木马服务,让其停止在系统的运行,这里继续在"光标闪烁"的命令行处,输入"Find –cd dzgmhncg.sys"命令回车,便可将其服务成功禁用(图05)。
图05 成功禁用木马服务
然后查看一下该服务现在的属性,在其下面的光标闪烁处,输入"Find –c dzgmhncg.sys"命令回车,此时就看显示其木马服务的状态(图06)。
图06 利用Find命令查看属性
从图中可以清楚的看到,其结果为The Service "dzgmhncg.sys" has not been found信息,则表示没有发现该服务,也就是说该服务现在是未开启状态。知道了这些,我们进入到C:\ program Files\目录下,找到后门释放出来的Uwupqudn.dll文件,并将其删除掉(图07)。
图07 删除释放出来的Uwupqudn.dll文件
清除木马在注册表写入的恶意键值
操作完毕后,依次单击"开始"→"运行"选项,在弹出的"运行"对话框内,输入"Regedit"命令回车,就可将其"注册表"编辑器打开(图08)。
图08 打开注册表编辑器
然后在其界面内,依次单击"编辑"→"查找"选项,在弹出的"查找"对话框内,将刚才所删除木马释放的文件名称Uwupqudn,输入到"查找目标"文本内(图09)。
图09 输入要查找的Uwupqudn键值
单击"查找下一个"按钮,就会在注册表内搜索释放木马,所记录的恶意键值,这里找到后将其全部删除。接着在顺原路返回到"查找"对话框,在其文本处输入"dzgmhncg"键值后,单击"查找下一个"按钮,从中找到木马所记录的恶意键值,而后将其全部删除,即可达到清除隐藏后门的目的。
关键词标签:木马清除,卡巴斯基
相关阅读 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012卡巴斯基2016授权文件_卡巴斯基2016用授权文件KEY激活教程(完美激卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活码/授权许可文件K卡巴斯基2017激活教程_卡巴斯基2017用授权文件KEY激活的方法(完美分享新网银木马清除技巧做精明的赶马人 木马查找清除攻略
热门文章 如何使HIPS 防止U盘病毒的入侵用小工具巧杀计算机病毒Windows 17年的老漏洞(VDM 0day)须警惕光驱也疯狂 Autorun病毒冒充文件夹
时间:08-03
时间:01-23
时间:03-30
时间:01-20
时间:04-05
时间:05-12
人气排行 解决alexa.exe自动弹出网页病毒卡巴斯基2017激活教程_卡巴斯基2017用授权文件KEY激活的方法(完美卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活码/授权许可文件K更改文件权限--处理另类无法删除病毒comine.exe 病毒清除方法ekrn.exe占用CPU 100%的解决方案当杀毒软件无能为力时,手动杀毒(利用系统自带命令查杀病毒)也许发Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
查看所有0条评论>>