杀毒36计之手动清除PcShare木马_PcShare木马清除方法

PcShare木马是一款强大的远程控制软件，其具有国内首创的驱动隐藏端口技术，可以号称是系统完美的内核后门了。即使是在强悍的杀毒软件，有时都会被其蒙蔽了眼睛，以下笔者拿出二副图片做为铁证(图01)(图02)。

图01 瑞星查杀结果

图02 卡巴斯基查杀界面

笔者在没有对其木马做任何处理的情况下，它就可以逃过杀毒软件的查杀，可见其木马的隐蔽性是很强的。至于如何清除，我们从以上已经看到了，光靠杀软是肯定不行的，所以这里我们就联合手动的方法将其木马清除。

利用Find.exe工具查找木马

为了清除木马的真实性，笔者在自己的本机内，运行了其木马的服务端文件，这样木马就会被成功加载到系统内，从而控制了整个电脑。接下来我们如何清除其加载的木马呢?这里依次单击&开始&→&运行&对话框，在弹出的&运行&对话框内，输入&CMD&命令回车，就可将&命令提示&对话框打开，或者将系统里的CMD文件，复制粘贴到某目录下，并且双击该CMD执行文件，也可达到弹出&命令提示&对话框的目的(图03)。

图03 打开CMD命令提示对话框

接下来将目录跳转到Find.exe工具目录处，然后在光标闪烁的位置处，输入Find –f命令回车，此时便可查找出木马隐藏的路径C:program Filesdzgmhncg.sys，以及木马服务名&1 hidden service&(图04)。

图04 利用Find工具查找出木马隐藏路径

既然知道了木马路径以及其服务名称，我们先禁用其木马服务，让其停止在系统的运行，这里继续在&光标闪烁&的命令行处，输入&Find –cd dzgmhncg.sys&命令回车，便可将其服务成功禁用(图05)。

图05 成功禁用木马服务

然后查看一下该服务现在的属性，在其下面的光标闪烁处，输入&Find –c dzgmhncg.sys&命令回车，此时就看显示其木马服务的状态(图06)。

图06 利用Find命令查看属性

从图中可以清楚的看到，其结果为The Service &dzgmhncg.sys& has not been found信息，则表示没有发现该服务，也就是说该服务现在是未开启状态。知道了这些，我们进入到C: program Files目录下，找到后门释放出来的Uwupqudn.dll文件，并将其删除掉(图07)。

图07 删除释放出来的Uwupqudn.dll文件

清除木马在注册表写入的恶意键值

操作完毕后，依次单击&开始&→&运行&选项，在弹出的&运行&对话框内，输入&Regedit&命令回车，就可将其&注册表&编辑器打开(图08)。

图08 打开注册表编辑器

然后在其界面内，依次单击&编辑&→&查找&选项，在弹出的&查找&对话框内，将刚才所删除木马释放的文件名称Uwupqudn，输入到&查找目标&文本内(图09)。

图09 输入要查找的Uwupqudn键值

单击&查找下一个&按钮，就会在注册表内搜索释放木马，所记录的恶意键值，这里找到后将其全部删除。接着在顺原路返回到&查找&对话框，在其文本处输入&dzgmhncg&键值后，单击&查找下一个&按钮，从中找到木马所记录的恶意键值，而后将其全部删除，即可达到清除隐藏后门的目的。