PcShare木馬是一款強(qiáng)大的遠(yuǎn)程控制軟件�����,其具有國內(nèi)首創(chuàng)的驅(qū)動隱藏端口技術(shù),可以號稱是系統(tǒng)完美的內(nèi)核后門了�����。即使是在強(qiáng)悍的殺毒軟件�,有時都會被其蒙蔽了眼睛�,以下筆者拿出二副圖片做為鐵證(圖01)(圖02)。
圖01 瑞星查殺結(jié)果
圖02 卡巴斯基查殺界面
筆者在沒有對其木馬做任何處理的情況下��,它就可以逃過殺毒軟件的查殺,可見其木馬的隱蔽性是很強(qiáng)的����。至于如何清除,我們從以上已經(jīng)看到了�����,光靠殺軟是肯定不行的�����,所以這里我們就聯(lián)合手動的方法將其木馬清除���。
利用Find.exe工具查找木馬
為了清除木馬的真實性�,筆者在自己的本機(jī)內(nèi),運(yùn)行了其木馬的服務(wù)端文件,這樣木馬就會被成功加載到系統(tǒng)內(nèi)�����,從而控制了整個電腦���。接下來我們?nèi)绾吻宄浼虞d的木馬呢?這里依次單擊"開始"→"運(yùn)行"對話框�����,在彈出的"運(yùn)行"對話框內(nèi)�����,輸入"CMD"命令回車����,就可將"命令提示"對話框打開�,或者將系統(tǒng)里的CMD文件,復(fù)制粘貼到某目錄下���,并且雙擊該CMD執(zhí)行文件,也可達(dá)到彈出"命令提示"對話框的目的(圖03)����。
圖03 打開CMD命令提示對話框
接下來將目錄跳轉(zhuǎn)到Find.exe工具目錄處,然后在光標(biāo)閃爍的位置處�����,輸入Find –f命令回車�,此時便可查找出木馬隱藏的路徑C:\program Files\dzgmhncg.sys�����,以及木馬服務(wù)名"1 hidden service"(圖04)���。
圖04 利用Find工具查找出木馬隱藏路徑
既然知道了木馬路徑以及其服務(wù)名稱,我們先禁用其木馬服務(wù)���,讓其停止在系統(tǒng)的運(yùn)行,這里繼續(xù)在"光標(biāo)閃爍"的命令行處���,輸入"Find –cd dzgmhncg.sys"命令回車,便可將其服務(wù)成功禁用(圖05)。
圖05 成功禁用木馬服務(wù)
然后查看一下該服務(wù)現(xiàn)在的屬性���,在其下面的光標(biāo)閃爍處,輸入"Find –c dzgmhncg.sys"命令回車�����,此時就看顯示其木馬服務(wù)的狀態(tài)(圖06)�。
圖06 利用Find命令查看屬性
從圖中可以清楚的看到�,其結(jié)果為The Service "dzgmhncg.sys" has not been found信息�����,則表示沒有發(fā)現(xiàn)該服務(wù)��,也就是說該服務(wù)現(xiàn)在是未開啟狀態(tài)�。知道了這些���,我們進(jìn)入到C:\ program Files\目錄下,找到后門釋放出來的Uwupqudn.dll文件�,并將其刪除掉(圖07)���。
圖07 刪除釋放出來的Uwupqudn.dll文件
清除木馬在注冊表寫入的惡意鍵值
操作完畢后�,依次單擊"開始"→"運(yùn)行"選項�,在彈出的"運(yùn)行"對話框內(nèi)����,輸入"Regedit"命令回車�����,就可將其"注冊表"編輯器打開(圖08)�����。
圖08 打開注冊表編輯器
然后在其界面內(nèi)�����,依次單擊"編輯"→"查找"選項����,在彈出的"查找"對話框內(nèi),將剛才所刪除木馬釋放的文件名稱Uwupqudn��,輸入到"查找目標(biāo)"文本內(nèi)(圖09)�����。
圖09 輸入要查找的Uwupqudn鍵值
單擊"查找下一個"按鈕,就會在注冊表內(nèi)搜索釋放木馬�����,所記錄的惡意鍵值����,這里找到后將其全部刪除��。接著在順原路返回到"查找"對話框����,在其文本處輸入"dzgmhncg"鍵值后,單擊"查找下一個"按鈕�����,從中找到木馬所記錄的惡意鍵值����,而后將其全部刪除,即可達(dá)到清除隱藏后門的目的。
關(guān)鍵詞標(biāo)簽:木馬清除,卡巴斯基
如何使HIPS 防止U盤病毒的入侵
用小工具巧殺計算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾
Loaris Trojan Remover(特洛伊木馬清除工具)
木馬清除專家2017
FreeFixer(木馬查殺軟件)
木馬劍(清除木馬軟件)
木馬清理王
卡巴斯基注冊痕跡清除工具