病毒名称:光华后门变种R(Backdoor.PcShare.5.r)
病毒类型:通过网络传播
病毒危害级别:★★★☆
病毒发作现象及危害:病毒运行后将自身复制到系统目录中,利用特殊的技术编写驱动程序实现隐藏自身进程、服务、注册表信息等躲避杀毒软件的查杀。同时注入Internet Explorer进程使个人防火墙软件对其失效。病毒替换系统服务实现开机自动运行。感染此病毒的计算机将能够被黑客远程控制,如添加删除文件、攻击其它服务器等。
手工删除:
一、禁用Remote Procedure Call (RPC)服务
RPC是系统的关键服务程序,结束它会造成系统一些功能不正常,如无法“复制”、“粘贴”等。由于Backdoor.PcShare.5.r病毒会替换这个服务,因此我们不得不禁用它。禁用RPC服务后系统一些功能可能会失效,属正常现象,最终我们会修复这个服务。
1、运行“Regedit.exe”打开注册表编辑器。
2、打开注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters,看到ServiceDll的值为%SystemRoot%\System32\rpcss.dll(正常值),实际这是病毒的障眼法,该项目已经指向了病毒文件。
3、打开注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs,将Start的值改为4(即禁用),然后重新启动计算机。
二、删除病毒创建的服务
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Yusapxzf一项,将该项目和下面的所有内容全部删除。
三、修复被病毒修改的Remote Procedure Call (RPC)服务
1、打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters一项,此时ServiceDll项的值已经现出了原形为Yusapxzf.d1l.。
2、双击ServiceDll项,将其值改为%SystemRoot%\System32\rpcss.dll。
3、打开注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs,将Start的值改为2,然后重新启动计算机。
四、删除病毒文件
删除掉Windows系统目录下(默认为C:\Winnt\system32)的Yusapxzf.d1l和Drivers目录下(默认为C:\Winnt\system32\drivers)的Yusapxzf.sys文件。至此病毒清除成功。
瑞星提示:由于该病毒替换了系统关键服务,手工清除存在一定风险。推荐用户升级瑞星杀毒软件到17.38.12以上版本彻底清除该病毒并自动修复系统关键服务。
如遇病毒,请拨打反病毒急救电话:010-82678800或访问瑞星反病毒资讯网:http://www.rising.com.cn。
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=492899