PCSHARE是一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏.
PCSHARE服务端运行后一般释放三个文件(以y开头的随机文件名),而且文件属性可以被设置为"系统"|"隐藏"|"只读"
y???????.dll (位置在%SystemRoot%System32)
y???????.d1l (位置在%SystemRoot%System32下)
y???????.sys (位置在%SystemRoot%System32drivers下)
需要在安全模式下才能正常清理,附dos命令行模式下的清理方法:
首先在系统盘根目录下运行 dir y*.d1l/s/a 检测以y开头,d1l为后缀的文件
注:比如找到yuadtsdf.d1l(随机的),以下的y*都是指yuadtsdf.d1l
然后执行
attrib -r -h -s %SystemRoot%System32y*.d1l
attrib -r -h -s %SystemRoot%System32y*.dll
attrib -r -h -s %SystemRoot%System32driversy*.sys
del %SystemRoot%System32y*.d1l
del %SystemRoot%System32y*.dll
del %SystemRoot%System32driversy*.sys
本站之前有发表一篇关于清理顽固dll的另类方法,可供参考[ 文章地址 ]
推荐一款木马检测软件ICESWORD,基本上所有的木马都可以检测出来(包括内核级别的后门)
新闻热点
疑难解答