(http://www.hays.com.cn/viewthread.php?tid=152&page=1&extra=page%3D1#pid164)

昨日遭受几年来的第一次病毒,  包含的文件有1992c114, ghook.dll, winform.dll, svchost.exe等. 花费近2个小时的时间,终于将其清除, 病毒的作者非常的狡猾和病态, 我强烈的谴责这种没有职业道德的恶劣和无耻的行为.

我是在上了浏览了某个PAGE后中毒的. 病毒的表现就是下载了如上的文件到客户的机器上,同时开启1992C114的服务(在别的机器上可能会改名), 同时在操作系统根目录下安装2个根目录,下面的文件都是GDHOOK.DLL, svchost.exe. 同时开启UDP服务和外界通信, 并使用TCP和HTTP的方式和外界通信(截取客户机器的密码等有价值的资源).

病毒的作者非常的病态, 同时也非常的低级和恶劣. 所有通信的服务器,都是明码写在程序中,当然不是明码也是非常轻松的查出来.  我建议该作者不要将其用做经济来源,否则肯定受到法律的严惩. 鉴于"保护"该病态作者的心理,我就不公布该病态作者的服务器了.

病毒在到客户的机器后, 立刻停掉杀毒软件.

正版norton antivirus只能查找那些EXE程序的病毒, 对于上面的那些DLL,她无能为力,查不出来.

清除建议,

1. 如果是WINDOWS XP, Windows Vista等可以系统还原的系统,直接使用系统还原功能恢复到前几天的某个状态. 当然这个操作的结果是你从那个还原点之后做的操作就无效了. 系统还原之后, 在c盘根目录和windows系统目录删除如上的文件.

2. 清楚所有的临时文件.
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

3,在进行如下操作前,请不要进行任何双击打开磁盘的操作, 同时关闭系统还原操作(如果是xp, vista), 还有最好是安全模式下(如果你重新启动操作系统的话,我是建议在被感染过之后,不要重新启动机器, 直接手工删除)。

windows根目录下,如下的文件夹名字是随机生成的, 你可以使用在DOS界面下使用dir /a:h 来查看掩藏的文件夹. 同时进入到子目录后,使用

attrib -r -s -h svchost.exe

attrib -r -s -h ghook.dll,

这样你就可以看到那2个文件了, 在del *.*删除那2个文件,进入到上级目录,再将这些目录删除.
C:/windows/msccrt.exe

2007-03-31  23:16    <DIR>          Syswm1i
2007-03-31  23:38    <DIR>          SysWsj7

gdhook.dll, svchost.exe

至于1992C114的service, 在注册表的这个位置,全部删除:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="C://windows//system32//1992C114.EXE -service"
"DisplayName"="1992C114"
"ObjectName"="LocalSystem"
"Description"="1992C114"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,/
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,/
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,/
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,/
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,/
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Enum]
"0"="Root//LEGACY_1992C114//0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001.

由于时间关系,我就不多写了,祝大家愉快! 如果有进一步的更新,可以到这里参考: http://www.liveaa.com, or http://www.sharemm.net

清除1992C114, ghook.dll, winform.dll, upxdnd.exe相关推荐

  1. 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突。

    0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突. 参考文章: (1)0x0F19 ...

  2. 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突。...

    下面的代码在编译,运行时没有问题,在输入内容是出现异常如下: 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00 ...

  3. C# 合并DLL, 合并DLL进入EXE

    原文:C# 合并DLL, 合并DLL进入EXE 使用方法非常简单 在项目属性窗口中,选择"生成事件",在"生成后事件命令行"下的文本框中输入 ilmerge / ...

  4. (xxx.dll)处(位于xxx.exe 中)引发的异常: 0xC0000005: 读取位置 0x0000003F 时发生访问冲突。已解决。

    下面两个这种类型的报错都一样.(跟xxx.dll和xxx.exe都没关系) 0x794CECC1 (Qt5Cored.dll)处(位于 xxx.exe 中)引发的异常: 0xC0000005: 读取位 ...

  5. 使用VideoCapture进行读取时0x00007FF9A1F86A6F (opencv_world440d.dll)处(位于 opencvtest.exe 中)引发的异常

    在读<OpenCV3编程入门>时,有下面一段代码 #include <opencv2/opencv.hpp> #include <iostream>using na ...

  6. msvcr110.dll php,windows,_msvcr110.dll丢失,vcredist_x64.exe设置失败,windows - phpStudy

    msvcr110.dll丢失,vcredist_x64.exe设置失败 windows更新后打开xsehll报错,说缺少msvcr110.dll. 然后之前也遇到过这样,去下载msvcr110.dll ...

  7. 【软件后门】资源(dll、ocx、exe)语言切换(汉化)、图标更改

    1.资源(dll.ocx.exe)语言切换(汉化) 推荐使用工具eXeScope.exe 2.图标修改 推荐使用工具ResHacker 3.5.exe 3.区域语言修改 推荐使用工具UltraEdit ...

  8. 安装Oracle10g客户端时出现报错:Error encountered when registering mfc40.dll,please run regsvr32.exe to register

    大家好,我是个实习生小白,前几天在安装Oracle10g客户端时遇到了一个问题,费劲千辛万苦终于解决了,当时有上网查过解决方法,但都没有对应的解决方法,自己瞎摸胡搞了好长一段时间解决了,后知后觉,想要 ...

  9. 0x00007FFF77912079 (ucrtbased.dll)处(位于 Demo.exe 中)引发的异常: 0xC0000005: 写入位置 0x000000108FD40000 时发生访问冲突

    VS中"This function or variable may be unsafe."警告的解决办法 Visual2019的scanf变成scanf_s 然后我就在scanf_ ...

最新文章

  1. 打一场AI竞赛,让你知道我的厉害
  2. 软件工程实训有必要吗_软件工程实训报告的总结.docx
  3. linux对当前使用的分区分割,实例解说Linux中fdisk分区使用方法
  4. PHP中的正则表达式函数
  5. oracle alter database close,alter database close
  6. perl查看文件,提取指定信息输出到文件
  7. 2021.9.8 华为笔试题第三题
  8. 电力系统的常用仿真模块MATLAB/SIMULINK(2)
  9. python输入一个三位整数、求逆序数_编写程序,从键盘输入一个三位数,求出其逆序数并输出,例如输入123,输出321。编写程序,从键盘输入一个三位数...
  10. 网易裁员事件引发的 5 点重要思考
  11. 快速上手efficient(keras)
  12. adobe illustrator 绘制平行四边形
  13. Python连锁药店营业额数据分析实验
  14. 初中计算机试题戏曲进校园,戏曲进校园的作文(精选5篇)
  15. 2018-05-18 docker supervisord进程管家
  16. redis查看某一个key的大小_redis查询key的内存大小
  17. 微商是如何推广的呢?
  18. 谁有全民一起mysql_我是Redis,MySQL大哥被我害惨了!
  19. Vue3 过10种组件通讯方式
  20. 人脸识别活体检测之张张嘴和眨眨眼——readme

热门文章

  1. 解决“WARN: Establishing SSL connection without server‘s identity verification is not recommended.”问题
  2. U盘启动盘安装Ubuntu 17.10麒麟
  3. 运维工程师和运维开发工程师区别有哪些?
  4. 如何使用 Docker 来安装 ONLYOFFICE Workspace 12.0?
  5. 深深的码丨Java NIO 透析
  6. [SCTF2019]Flag Shop erb模板注入
  7. 微信小程序实现图片或gif预加载
  8. css效果(两边渐渐消失的线、边框上下渐变)
  9. AMS TMF8820/21/28 confidence介绍
  10. 一分钟快速重启资源管理器