PCSHARE是一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术,达到系统级别的隐藏. PCSHARE服务端运行后一般释放三个文件(以y开头的随机文件名),而且文件属性可以被设置为"系统"|"隐藏"|"只读" y???????.dll (位置在%SystemRoot%\System32) y???????.d1l (位置在%SystemRoot%\System32下) y???????.sys (位置在%SystemRoot%\System32\drivers下) 需要在安全模式下才能正常清理,附dos命令行模式下的清理方法: 首先在系统盘根目录下运行 dir y*.d1l/s/a 检测以y开头,d1l为后缀的文件 注:比如找到yuadtsdf.d1l(随机的),以下的y*都是指yuadtsdf.d1l 然后执行 attrib -r -h -s %SystemRoot%\System32\y*.d1l attrib -r -h -s %SystemRoot%\System32\y*.dll attrib -r -h -s %SystemRoot%\System32\drivers\y*.sys del %SystemRoot%\System32\y*.d1l del %SystemRoot%\System32\y*.dll del %SystemRoot%\System32\drivers\y*.sys 本站之前有发表一篇关于清理顽固dll的另类方法,可供参考[ 文章地址 ] 推荐一款木马检测软件ICESWORD,基本上所有的木马都可以检测出来(包括内核级别的后门) |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-10-1 05:29 , Processed in 0.101419 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.