瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 木马后门:PCSHARE2008 搞什么啊
小狼不爱色的 - 2010-6-9 7:51:00
:kaka4: :kaka4: 还是木马后门:PCSHARE2008 
游戏掉线

防火墙版本22.00.04.07
瑞星 22.51.02.00

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
小狼不爱色的 - 2010-6-9 8:28:00
:kaka6: 这是什么地方。瑞星没有技术人员吗。。

一年几十元。不是钱啊
Befriend - 2010-6-9 21:12:00
同求解答,一直被攻击,漏洞补丁都打了,还是被不停攻击
Befriend - 2010-6-9 21:12:00
防火墙和杀毒软件版本和楼上的一样
嬅孀 - 2010-6-22 16:44:00
PCSHARE2008?都什么年代的病毒啊。。。晕。。手工杀啊
大头23 - 2010-6-24 9:52:00
内网?
Zbicycle - 2010-6-28 21:01:00
pcshare2008是一款远程攻击控制软件,受攻击时会被瑞星个人防火墙拦截下来
解决方法:
1.首先把病毒库和补丁库更新完整,在安全模式下面全盘查杀
2.杀不出来的话,很可能是针对杀软做了免杀的,建议尝试在线查杀(过得了一个,总不会全都过吧,那种可能性很小的)
3.查杀掉之后建议,关闭没用的端口,电脑和杀软要经常升级更新,利用百度谷歌做好防火墙设置。
xiaoshazi - 2010-7-15 2:25:00
这个我真的不知道
木马bbbb - 2010-7-15 20:26:00
:kaka6: 瑞星防火墙针对PCSHARE2008木马后门可以拦截的。
开启防火墙的网络攻击拦截功能就可以了。其他的不需要操作。
jks_风 - 2010-7-16 10:28:00
pcshare的启动方式是依附系统进程加载动态函数链接库来实现一些功能。

LZ请关闭常用软件,如QQ,酷狗等,使用冰刃查看端口,有没有可以端口连接,一般黑客常用恶意端口都在6000-9000之间。

使用xuetr或者QQKAV等软件查看svchost.exe等进程有没有异常。
或者使用SREng软件扫描系统日志上传到论坛。
以下是下载地址:
http://bbs.ikaka.com//showtopic-8442813.aspx
侠客1573 - 2010-7-21 8:45:00
PcShare,PcClient后门手工解决方案
PcShare,PcClient等驱动级的木马开始流行,极尽隐藏之事,不借助一些工具根本无法清除干净,下面介绍手工查杀的方法。
Backdoor/PcShare.ch木马运行后,在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys,我的系统盘在c盘,这个文件的路径为C:\WINDOWS\system32\drivers\下面,并在C:\WINDOWS\system32\目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll,它中间那个是数字1,而不是字母l。注册表中还有相关键值,保证了每次启动时驱动都能够被加载,甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。
打开工具IceSword,在pluto1313版主的网络优盘中有下,点击进程图标,会看到有红色的进程浏览器Iexplorer在运行,表明它是一个隐藏进程。不要试图结束它,没有用的。再点击SSDT图标,查看其中红色的被修改的服务地址,在我做试验的这台机器上如下图所示,病毒hook了显示注册表和遍历进程的函数地址,因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。
准备工具:KillFiles(同样到上面版主的空间去下),最好放到桌面以方便运行。
下面介绍一种比较安全的方式来清除该病毒,重启计算机进入安全模式。
1.进入C:\WINDOWS\system32\drivers\下面,删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具,在文件名对话框中输入Ywvpysxl.d1l,注意这个后缀中间是数字1,最后一个是字母l,一个都不要输错,否则会找不到该文件,确保上面的单选框为"直接删除",点击确定就可以了,如果删除成功,会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器,(在运行对话框中输入regedit),在注册表中以Ywvpysxl作为关键字搜索,将搜到的键值删除即可。至此,病毒被成功清除。
第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成,在网上就可以搜索到,运行后点击Process标签,让进程以进程树的方式显示,这时可以看到IE仍在运行,但它的父进程是svchost.exe,注意系统中会有很多的svchost进程,不要全部结束,结束启动IE的进程就可以了,也就是IE进程上面的svchost文件,选中这个svchost进程,选鼠标右键中的Kill Process Tree,点确定就可以了,就结束了病毒体的运行,然后到C:\WINDOWS\system32\下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦,还是推荐使用我提到的KillFiles工具,不过它不是很完善,一些情况下会出错,本人不对用户误使用该程序造成的损失负任何责任。
PcShare,PcClient等病毒的变种清除方法大都如此,用户可以参考此文清除其他的变种。
1
查看完整版本: 木马后门:PCSHARE2008 搞什么啊