PCSHARE木马的清理方法

PCSHARE是一款计算机远程控制软件,采用HTTP反向通信,屏幕数据线传输,驱动隐藏端口通信过程等技术，达到系统级别的隐藏.

PCSHARE服务端运行后一般释放三个文件(以y开头的随机文件名),而且文件属性可以被设置为"系统"|"隐藏"|"只读"

首先在系统盘根目录下运行 dir y*.d1l/s/a  检测以y开头,d1l为后缀的文件

注:比如找到yuadtsdf.d1l(随机的),以下的y*都是指yuadtsdf.d1l

然后执行

本站之前有发表一篇关于清理顽固dll的另类方法,可供参考[ 文章地址 ]

推荐一款木马检测软件ICESWORD,基本上所有的木马都可以检测出来（包括内核级别的后门）

清理顽固dll的另类方法
环境: 操作系统 Win2000Server(磁盘格式为ntfs格式,如果您采用fat32或者其他,本方法就不适用了)  浏览器 IE 6.0  杀毒软件 Norton8.0   
症状: 存在恶意插件2个,导致ie访问速度变慢,经常弹出恶意广告,无法正常卸载和删除,norton查杀不了
解决流程:
一.查找windows常见的自启动项,将可疑的启动项目移除(重启后病毒依然存在)
二.分析后发现在program files目录下的2个目录中的dll在搞鬼,删除时提示文件正在使用中,搜索注册表,查找该dll文件,找到了5处,把对应的键都删除,重启后这两个插件所调用的dll还是不能删除,说明这两个插件还有自我保护的程序,如果检测到生存环境遭到破坏就自动再还原出来.
三.如何不让他们抢先进驻到内存的避风港中? 我取消了两个dll文件的ntfs权限,原本是administrators和system组的完全控制,现在都删除了,重启后恶意dll没办法加载到内存中了,这下就可以轻松剿灭了.