风云小站 » 『 求助专区 』 » 关于u3shlpdr.sys 这个恶意程序~
本页主题: 关于u3shlpdr.sys 这个恶意程序~ 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

生锈的右眼
OA/IT CE
级别: 初级会员


精华: 0
发帖: 98
威望: 267 点
风云币: 2394 元
专家分: 0 分
在线时间:50(小时)
注册时间:2007-10-03
最后登录:2008-04-27

 关于u3shlpdr.sys 这个恶意程序~

管理提醒:
本帖被 水蜜桃 执行锁定操作(2008-03-12)
在电脑里发现了这个程序 上网查得到了下面的结果,也符合我的情况
我最近就用的联想的128的魔盘 
我不理解的是  为什么联想的会出现这个东西  我那个U盘还可以用吗?有什么危害吗?这个程序究竟是干什么的?望明白的达人指点下








我的360和卡巴都经常发现u3shlpdr.sys木马,杀了不久又有了,今天决心追踪来源。
先花几天时间彻底禁止远程服务和无用服务,删除一些不怎么用的软件,清理环境,360和卡巴检测OK,环境应该可以了。
因为以前每次杀完后暂时都找不到,几天后又出现,查网有人说是联想的魔盘加密程序释放的,于是先从此着手。
重启机器,360和卡巴检测没有发现问题,于是插入联想魔盘,联想魔盘是几年前买的,64M,花了100多块,就看中加密功能,插入后浏览里面有一个passid.exe的开锁程序,这时360检测,仍没有发现木马,同时打开资源浏览器监视u3shlpdr.sys存放的目录c:\\windows\\system32\\driver\\,确定没有y3shltdr.sys,点击魔盘的passid.exe准备输入开锁密码,马上,driver目录出现了u3shlpdr.sys,360和卡巴检测出现u3shlpdr木马!
真可恶呀,信任联想才用其加密U盘保存重要资料,没想到居然其开锁程序就出现木马!这样一来所有重要资料正好被重点窃取,TMD,是联想加密程序本身就带有的,还是后来被植入的??
于是测试这个加密U盘的写入能力,不执行passid.exe,直接创建文件,不允许,改写passid.exe也不允许,这与联想魔盘说明上的一致,即未开锁前是不能写入的,里面的东西都写保护。这就意味着passid.exe里面带有的u3shlpdr木马是创建时带有的!
解决办法:用360和卡巴表面都可删除这个木马,但删除后马上检测是没有这个木马的,再点击联想魔盘的passid.exe开锁使用然后马上检测也是没有这个木马的,除非重启系统再开锁就能检测到了,木马为何知道不在刚杀完的系统重加载?怀疑是系统某些地方还保存着木马的识别标志,360和卡巴都没有完全删除。
最终处理:保存这个该死的U盘作为证据,不再信任和使用联想的产品。
本帖最近评分记录:
  • 风云币:+5(水蜜桃) 您的贴子很精彩!希望很 ..
  • 顶端 Posted: 2008-03-11 12:14 | [楼 主]
    freelive
    独自等待,悄悄离开~
    级别: 风云精英


    精华: 1
    发帖: 1003
    威望: 554 点
    风云币: 154183 元
    专家分: 5 分
    在线时间:105(小时)
    注册时间:2007-12-31
    最后登录:2008-04-27

     

    据猜测好像是加密解密得文件。

    因为某些程序加壳了,为了防止恶意得破解之类得。

    早些年得程序,或许有人也使用此程序,做成木马。

    现在杀软直接查杀了,技术在更新,不可一概而论。

    方法建议:
    1、尝试修改自启动项目

    [U3sHlpDr / U3sHlpDr][Stopped/Auto Start]
    <\??\C:\WINDOWS\System32\Drivers\U3sHlpDr.sys>

    禁止或者删除都可以。

    2、可以到lenovo官网,下载更新程序,格式化U盘。

    因为已经公认为木马,后台自启动。为了安全起见,如果以上防范还是不行的话,建议不使用,以免被木马利用。




    风云墙-荣誉会员

    其实一切与我无关~
    顶端 Posted: 2008-03-11 12:57 | 1 楼
    freelive
    独自等待,悄悄离开~
    级别: 风云精英


    精华: 1
    发帖: 1003
    威望: 554 点
    风云币: 154183 元
    专家分: 5 分
    在线时间:105(小时)
    注册时间:2007-12-31
    最后登录:2008-04-27

     

    简单查看了一下,没有什么问题。

    文本的内容大概是:

    微软Windows me 紧急启动磁盘 帮助 文件

    不知道你用的什么工具格式化的U盘,和你的工具有关系。

    也就是说U盘被格式化成了 紧急启动磁盘 ,和我们常用的 矮人dos启动磁盘 差不多。

    基本上是用来急救系统用的,对你的U盘没有什么大的影响,可以正常使用了。

    描述:文件翻译
    附件: 文本翻译.txt (9 K) 下载次数:1
    风云墙-荣誉会员

    其实一切与我无关~
    顶端 Posted: 2008-03-11 19:38 | 2 楼
    帖子浏览记录 版块浏览记录
    风云小站 » 『 求助专区 』
    感谢,曾经的版主
    Total 0.011850(s) query 7, Time now is:12-26 16:14, Gzip enabled 渝ICP备20004412号-1

    Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation
    Skin by Chen Bo