设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡下载专区≡□≡ IT书籍文档 杀毒36计之手动清除PcShare木马
返回列表 发新帖
查看: 1620|回复: 0
收起左侧

杀毒36计之手动清除PcShare木马

[复制链接]
goodluck
发表于 2009-11-29 13:12:36 | 显示全部楼层 |阅读模式
<div><font size="2">  </font></div><div><font size="2">  </font></div><div><font size="2">  PcShare木马是一款强大的远程控制软件,其具有国内首创的驱动隐藏端口技术,可以号称是系统完美的内核后门了。即使是在强悍的杀毒软件,有时都会被其蒙蔽了眼睛,以下笔者拿出二副图片做为铁证(图01)(图02)。</font></div><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/64cc73ca-e38c-4a3a-89cc-1110985577f5.jpg" width="500" height="376" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图01 瑞星查杀结果</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/fe97838b-afa3-414f-9ac6-79dc2432bdb0.jpg" width="500" height="373" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图02 卡巴斯基查杀界面</font></p><p><font size="2">  笔者在没有对其木马做任何处理的情况下,它就可以逃过杀毒软件的查杀,可见其木马的隐蔽性是很强的。至于如何清除,我们从以上已经看到了,光靠杀软是肯定不行的,所以这里我们就联合手动的方法将其木马清除。</font></p><p><font size="2"> <strong> 利用Find.exe工具查找木马</strong></font></p><p><font size="2">  为了清除木马的真实性,笔者在自己的本机内,运行了其木马的服务端文件,这样木马就会被成功加载到系统内,从而控制了整个电脑。接下来我们如何清除其加载的木马呢?这里依次单击“开始”→“运行”对话框,在弹出的“运行”对话框内,输入“CMD”命令回车,就可将“命令提示”对话框打开,或者将系统里的CMD文件,复制粘贴到某目录下,并且双击该CMD执行文件,也可达到弹出“命令提示”对话框的目的(图03)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/84ff784f-2714-485c-8669-b8aef6a9f5b6.jpg" width="500" height="321" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图03 打开CMD命令提示对话框</font></p><p><font size="2">  接下来将目录跳转到Find.exe工具目录处,然后在光标闪烁的位置处,输入Find –f命令回车,此时便可查找出木马隐藏的路径C:\program Files\dzgmhncg.sys,以及木马服务名“1 hidden service”(图04)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/77343979-ae61-487a-92c7-fc1441cad5a6.jpg" width="500" height="320" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图04 利用Find工具查找出木马隐藏路径</font></p><p><font size="2">  既然知道了木马路径以及其服务名称,我们先禁用其木马服务,让其停止在系统的运行,这里继续在“光标闪烁”的命令行处,输入“Find –cd dzgmhncg.sys”命令回车,便可将其服务成功禁用(图05)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/3415f1e5-312a-48dd-b140-2aa257a5bda7.jpg" width="500" height="319" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图05 成功禁用木马服务</font></p><p><font size="2">  然后查看一下该服务现在的属性,在其下面的光标闪烁处,输入“Find –c dzgmhncg.sys”命令回车,此时就看显示其木马服务的状态(图06)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/7d27238e-3188-4468-85c9-59856b03ddb0.jpg" width="500" height="320" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图06 利用Find命令查看属性</font></p><p><font size="2">  从图中可以清楚的看到,其结果为The Service “dzgmhncg.sys” has not been found信息,则表示没有发现该服务,也就是说该服务现在是未开启状态。知道了这些,我们进入到C:\ program Files\目录下,找到后门释放出来的Uwupqudn.dll文件,并将其删除掉(图07)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/e43846b8-4c71-4c1d-8939-10c51fc7a603.jpg" width="500" height="317" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图07 删除释放出来的Uwupqudn.dll文件</font></p><p><font size="2">  <strong>清除木马在注册表写入的恶意键值</strong></font></p><p><font size="2">  操作完毕后,依次单击“开始”→“运行”选项,在弹出的“运行”对话框内,输入“Regedit”命令回车,就可将其“注册表”编辑器打开(图08)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/2dde151a-6e76-4c72-98fa-088c245f6f16.jpg" width="500" height="343" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图08 打开注册表编辑器</font></p><p><font size="2">  然后在其界面内,依次单击“编辑”→“查找”选项,在弹出的“查找”对话框内,将刚才所删除木马释放的文件名称Uwupqudn,输入到“查找目标”文本内(图09)。</font></p><p><font size="2">   </font></p><center><font size="2"><img alt="" src="http://news.newhua.com/Files/Remoteupfile/2008-10/16/a212b7e2-ac05-4058-8ea9-6544809c9210.jpg" width="424" height="173" /></font></center><p><font size="2"></font></p><p align="center"><font size="2">图09 输入要查找的Uwupqudn键值</font></p><p><font size="2">  单击“查找下一个”按钮,就会在注册表内搜索释放木马,所记录的恶意键值,这里找到后将其全部删除。接着在顺原路返回到“查找”对话框,在其文本处输入“dzgmhncg”键值后,单击“查找下一个”按钮,从中找到木马所记录的恶意键值,而后将其全部删除,即可达到清除隐藏后门的目的。</font></p>
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-23 07:50 , Processed in 0.048824 second(s), 10 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表