诺雷不哭 - 2005-10-16 10:03:00
Backdoor.PcClient.bi
病毒分类 WINDOWS下的PE病毒
病毒类型: 后门,危险级别:★
病毒名称 Backdoor.PcClient.bi
依赖系统 Win 9x/2000/XP/NT/Me/2000
传播途径 ……
行为类型 WINDOWS下的木马程序
信息:Backdoor/PcClient.an(友好客户)变种an是一个后门,记录键击,保存为日志文 件,发送给黑客。“友好客户”变种an运行后,自我复制到Windows目录下或系统目录下。修改注册表,实现开机自启。记录键击,盗取用户机密信息,保存为日志文件,以邮件方式或连接指定站点以脚本文件方式发送给黑客。
瑞 星 版 本 号:17.41.01
我晕!我居然中的是http://viruslist.rising.com.cn/v.asp?q=Backdoor.PcClient 里面没有的变种病毒,紧急求助!有一个QQ就这么被偷了,居然还是在自己家里面!怨念哦!
有毒问我 - 2005-10-16 10:52:00
安全模式下杀毒看看
有毒问我 - 2005-10-16 10:53:00
或者DOS下杀毒看看
命运里の金色 - 2005-10-16 11:12:00
把杀软报的路径以及文件告诉我
诺雷不哭 - 2005-10-19 9:56:00
请问什么是:杀软报的路径以及文件?
海色の月 - 2005-10-19 22:47:00
在“操作”>>“历史记录”里可以找到。
诺雷不哭 - 2005-10-22 19:34:00
啊,那个,我是菜鸟,操作在哪里啊?
还有哦,我一星期不在家,回来以后发现瑞星的运行程序不见了,就只剩下快捷方式在桌面上……晕哦!
命运里の金色 - 2005-10-22 19:54:00
关于这个病毒,我有过PCshare病毒样本,不过很久以前被我就删除了
PcShare,PcClient后门手工解决方案
这几天PcShare,PcClient等驱动级的木马开始流行,极尽隐藏之事,不借助一些工具根本无法清除干净,下面就用户可能遇到的一些情况分别给予说明,并介绍手工查杀的方法。
Backdoor/PcShare.ch木马运行后,在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys,我的系统盘在c盘,这个文件的路径为C:\WINDOWS\system32\drivers\下面,并在C:\WINDOWS\system32\目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll,它中间那个是数字1,而不是字母l。注册表中还有相关键值,保证了每次启动时驱动都能够被加载,甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。
打开工具IceSword,在pluto1313版主的网络优盘中有下,点击进程图标,会看到有红色的进程浏览器Iexplorer在运行,表明它是一个隐藏进程。不要试图结束它,没有用的。再点击SSDT图标,查看其中红色的被修改的服务地址,在我做试验的这台机器上如下图所示,病毒hook了显示注册表和遍历进程的函数地址,因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。
准备工具:KillFiles(同样到上面版主的空间去下),最好放到桌面以方便运行。
下面介绍一种比较安全的方式来清除该病毒,重启计算机进入安全模式。
1.进入C:\WINDOWS\system32\drivers\下面,删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具,在文件名对话框中输入Ywvpysxl.d1l,注意这个后缀中间是数字1,最后一个是字母l,一个都不要输错,否则会找不到该文件,确保上面的单选框为"直接删除",点击确定就可以了,如果删除成功,会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器,(在运行对话框中输入regedit),在注册表中以Ywvpysxl作为关键字搜索,将搜到的键值删除即可。至此,病毒被成功清除。
第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成,在网上就可以搜索到,运行后点击Process标签,让进程以进程树的方式显示,这时可以看到IE仍在运行,但它的父进程是svchost.exe,注意系统中会有很多的svchost进程,不要全部结束,结束启动IE的进程就可以了,也就是IE进程上面的svchost文件,选中这个svchost进程,选鼠标右键中的Kill Process Tree,点确定就可以了,就结束了病毒体的运行,然后到C:\WINDOWS\system32\下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦,还是推荐使用我提到的KillFiles工具,不过它不是很完善,一些情况下会出错,本人不对用户误使用该程序造成的损失负任何责任。
PcShare,PcClient等病毒的变种清除方法大都如此,用户可以参考此文清除其他的变种。
这里感谢pluto1313把这个写成了一篇的文章
我中标了 - 2005-10-22 20:16:00
大虾:这个Backdoor.Gpigeon.sw病毒怎么老是杀不掉,我用的是整版的瑞星杀毒软件,求救!!!!
我中标了 - 2005-10-22 20:19:00
补充:瑞星杀毒软件提示路径是C:\WINDOWS,但就是找不到,还有文件名,都是搜索不到的。为什么?
命运里の金色 - 2005-10-22 20:25:00
【回复“我中标了”的帖子】http://forum.ikaka.com/topic.asp?board=28&artid=6202404灰鸽子看这个帖子
© 2000 - 2026 Rising Corp. Ltd.