雨鹤 - 2005-9-16 14:29:00
各位黑道白道的好汉谁能解决这个东西???????
开机能杀出来,但是重启之后他还能运行~~~
病毒是在svchost.exe和iexplorer.exe里查出来得~~
怎么办?
小弟谢了~~~~
命运里の金色 - 2005-9-16 14:38:00
这几天PcShare,PcClient等驱动级的木马开始流行,极尽隐藏之事,不借助一些工具根本无法清除干净,下面就用户可能遇到的一些情况分别给予说明,并介绍手工查杀的方法。
Backdoor/PcShare.ch木马运行后,在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys,我的系统盘在c盘,这个文件的路径为C:\WINDOWS\system32\drivers\下面,并在C:\WINDOWS\system32\目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll,它中间那个是数字1,而不是字母l。注册表中还有相关键值,保证了每次启动时驱动都能够被加载,甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。
打开工具IceSword,在pluto1313版主的网络优盘中有下,点击进程图标,会看到有红色的进程浏览器Iexplorer在运行,表明它是一个隐藏进程。不要试图结束它,没有用的。再点击SSDT图标,查看其中红色的被修改的服务地址,在我做试验的这台机器上如下图所示,病毒hook了显示注册表和遍历进程的函数地址,因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。
准备工具:KillFiles(同样到上面版主的空间去下),最好放到桌面以方便运行。
下面介绍一种比较安全的方式来清除该病毒,重启计算机进入安全模式。
1.进入C:\WINDOWS\system32\drivers\下面,删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具,在文件名对话框中输入Ywvpysxl.d1l,注意这个后缀中间是数字1,最后一个是字母l,一个都不要输错,否则会找不到该文件,确保上面的单选框为"直接删除",点击确定就可以了,如果删除成功,会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器,(在运行对话框中输入regedit),在注册表中以Ywvpysxl作为关键字搜索,将搜到的键值删除即可。至此,病毒被成功清除。
第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成,在网上就可以搜索到,运行后点击Process标签,让进程以进程树的方式显示,这时可以看到IE仍在运行,但它的父进程是svchost.exe,注意系统中会有很多的svchost进程,不要全部结束,结束启动IE的进程就可以了,也就是IE进程上面的svchost文件,选中这个svchost进程,选鼠标右键中的Kill Process Tree,点确定就可以了,就结束了病毒体的运行,然后到C:\WINDOWS\system32\下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦,还是推荐使用我提到的KillFiles工具,不过它不是很完善,一些情况下会出错,本人不对用户误使用该程序造成的损失负任何责任。
PcShare,PcClient等病毒的变种清除方法大都如此,用户可以参考此文清除其他的变种。
有什么不明白,把病毒路径发上来,我个人认为使用icesword也可以解决
独孤豪侠 - 2005-9-16 14:38:00
呵呵,收了。3Q
命运里の金色 - 2005-9-16 14:50:00
1. 重新启动电脑,按F8进入安全模式
2. 开始--->执行---> regedit
3. 在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下,找出yblhjlcu,把yblhjlcu删除
4. 删除以下档案
C:\Windows\System32\yblhjlcu.dll
C:\Windows\System32\yblhjlcu.d1l
C:\Windows\System32\drivers\yblhjlcu.sys
5. 重新启动电脑,回到正常模式看看
PS:有什么不能删除或者找到的请用IceSword 工具,置顶帖子里有
雨鹤 - 2005-9-16 15:09:00
我正在研究IceSword,一会有什么问题,在请教你 ~~~谢谢
命运里の金色 - 2005-9-16 15:16:00
【回复“雨鹤”的帖子】好的,不过我不一定在的,不过应该会有人回答你的
独孤豪侠 - 2005-9-16 16:00:00
【回复“雨鹤”的帖子】选删除后启动!!试试
命运里の金色 - 2005-9-16 16:31:00
【回复“雨鹤”的帖子】你可以尝试用IceSword里找到这个文件删除,也可以安装11楼的方法
雨鹤 - 2005-9-17 18:13:00
大哥啊 我真是后悔啊~~~~55555555后悔没备份注册表啊 ~~~搞的我的机器彻底崩溃啊~~今天重装了系统~~~我哭~~~
命运里の金色 - 2005-9-17 18:16:00
| 引用: |
【雨鹤的贴子】大哥啊 我真是后悔啊~~~~55555555后悔没备份注册表啊 ~~~搞的我的机器彻底崩溃啊~~今天重装了系统~~~我哭~~~
........................... |
你删除了注册表里的什么?
雨鹤 - 2005-9-17 18:37:00
删除后症状为开机速度非常慢,浏览第一个网页的速度非常慢,后边的速度正常,不能发表帖子,不能剪切、复制、粘贴。网上邻居里无任何东西显示,但是提示有5个对象。
命运里の金色 - 2005-9-17 18:45:00
| 引用: |
【雨鹤的贴子】yblhjlcu注册表里的这个东西~~~
........................... |
是在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下吗?文件你都删除干净了吗?还有要关闭共享的
雨鹤 - 2005-9-17 18:50:00
我是2000系统,是删除的那个文件,都删干净了,共享没注意是关闭的还是开着的~
命运里の金色 - 2005-9-17 18:54:00
【回复“雨鹤”的帖子】我帮一些人删除过这个病毒,都用这个方法,都没出现你这个情况~~不好意思,没想到会这样
CAJINCHEN - 2005-9-19 1:13:00
此病毒KILL软件新版本已可以安全解决.
© 2000 - 2026 Rising Corp. Ltd.