u3shlpdr是什么啊?我怎么会中的阿?
我在网上找到说它是该病毒修改注册表创建系统服务U3sHlpDr实现自启动,隐藏与机器内,属于国外间谍木马病毒。可是我不明白我是怎么种到的阿?上周五我刚用360查过并无木马,周六、日没用电脑,今天在360特征库升级完毕后,又查了一次,就发现了一个叫u3shlpdr恶意程序,在system/drives下,我在网上找到他的解释,但很笼统,不是很明白,我原本以为它是我sandisk u3优盘的驱动,可看到网上的解释又不是,想请教一下大家,它究竟是怎么会出现在我的电脑上的阿?我一般上网只开一些像新浪、百度等网页,从不开乱七八糟的网页的阿
天蝎魔女 #2发表于 2007-12-11 15:49
没有人知道吗?
尤金·卡巴斯基 #3发表于 2007-12-11 15:57
U盘一般不会生成驱动文件。系统中会自己配置的
游客 121.8.42.x #4发表于 2007-12-17 12:12
联想魔盘的问题
我的360和卡巴都经常发现u3shlpdr.sys木马,杀了不久又有了,今天决心追踪来源。
先花几天时间彻底禁止远程服务和无用服务,删除一些不怎么用的软件,清理环境,360和卡巴检测OK,环境应该可以了。
因为以前每次杀完后暂时都找不到,几天后又出现,查网有人说是联想的魔盘加密程序释放的,于是先从此着手。
重启机器,360和卡巴检测没有发现问题,于是插入联想魔盘,联想魔盘是几年前买的,64M,花了100多块,就看中加密功能,插入后浏览里面有一个passid.exe的开锁程序,这时360检测,仍没有发现木马,同时打开资源浏览器监视u3shlpdr.sys存放的目录c:\\windows\\system32\\driver\\,确定没有y3shltdr.sys,点击魔盘的passid.exe准备输入开锁密码,马上,driver目录出现了u3shlpdr.sys,360和卡巴检测出现u3shlpdr木马!
真可恶呀,信任联想才用其加密U盘保存重要资料,没想到居然其开锁程序就出现木马!这样一来所有重要资料正好被重点窃取,TMD,是联想加密程序本身就带有的,还是后来被植入的??
于是测试这个加密U盘的写入能力,不执行passid.exe,直接创建文件,不允许,改写passid.exe也不允许,这与联想魔盘说明上的一致,即未开锁前是不能写入的,里面的东西都写保护。这就意味着passid.exe里面带有的u3shlpdr木马是创建时带有的!
解决办法:用360和卡巴表面都可删除这个木马,但删除后马上检测是没有这个木马的,再点击联想魔盘的passid.exe开锁使用然后马上检测也是没有这个木马的,除非重启系统再开锁就能检测到了,木马为何知道不在刚杀完的系统重加载?怀疑是系统某些地方还保存着木马的识别标志,360和卡巴都没有完全删除。
最终处理:保存这个该死的U盘作为证据,不再信任和使用联想的产品。
