清除1992C114, ghook.dll, winform.dll, upxdnd.exe
(http://www.hays.com.cn/viewthread.php?tid=152&page=1&extra=page%3D1#pid164)
昨日遭受几年来的第一次病毒, 包含的文件有1992c114, ghook.dll, winform.dll, svchost.exe等. 花费近2个小时的时间,终于将其清除, 病毒的作者非常的狡猾和病态, 我强烈的谴责这种没有职业道德的恶劣和无耻的行为.
我是在上了浏览了某个PAGE后中毒的. 病毒的表现就是下载了如上的文件到客户的机器上,同时开启1992C114的服务(在别的机器上可能会改名), 同时在操作系统根目录下安装2个根目录,下面的文件都是GDHOOK.DLL, svchost.exe. 同时开启UDP服务和外界通信, 并使用TCP和HTTP的方式和外界通信(截取客户机器的密码等有价值的资源).
病毒的作者非常的病态, 同时也非常的低级和恶劣. 所有通信的服务器,都是明码写在程序中,当然不是明码也是非常轻松的查出来. 我建议该作者不要将其用做经济来源,否则肯定受到法律的严惩. 鉴于"保护"该病态作者的心理,我就不公布该病态作者的服务器了.
病毒在到客户的机器后, 立刻停掉杀毒软件.
正版norton antivirus只能查找那些EXE程序的病毒, 对于上面的那些DLL,她无能为力,查不出来.
清除建议,
1. 如果是WINDOWS XP, Windows Vista等可以系统还原的系统,直接使用系统还原功能恢复到前几天的某个状态. 当然这个操作的结果是你从那个还原点之后做的操作就无效了. 系统还原之后, 在c盘根目录和windows系统目录删除如上的文件.
2. 清楚所有的临时文件.
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
3,在进行如下操作前,请不要进行任何双击打开磁盘的操作, 同时关闭系统还原操作(如果是xp, vista), 还有最好是安全模式下(如果你重新启动操作系统的话,我是建议在被感染过之后,不要重新启动机器, 直接手工删除)。
windows根目录下,如下的文件夹名字是随机生成的, 你可以使用在DOS界面下使用dir /a:h 来查看掩藏的文件夹. 同时进入到子目录后,使用
attrib -r -s -h svchost.exe
attrib -r -s -h ghook.dll,
这样你就可以看到那2个文件了, 在del *.*删除那2个文件,进入到上级目录,再将这些目录删除.
C:/windows/msccrt.exe
2007-03-31 23:16 <DIR> Syswm1i
2007-03-31 23:38 <DIR> SysWsj7
gdhook.dll, svchost.exe
至于1992C114的service, 在注册表的这个位置,全部删除:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="C://windows//system32//1992C114.EXE -service"
"DisplayName"="1992C114"
"ObjectName"="LocalSystem"
"Description"="1992C114"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,/
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,/
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,/
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,/
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,/
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Enum]
"0"="Root//LEGACY_1992C114//0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001.
由于时间关系,我就不多写了,祝大家愉快! 如果有进一步的更新,可以到这里参考: http://www.liveaa.com, or http://www.sharemm.net
清除1992C114, ghook.dll, winform.dll, upxdnd.exe相关推荐
- 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突。
0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突. 参考文章: (1)0x0F19 ...
- 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00740000 时发生访问冲突。...
下面的代码在编译,运行时没有问题,在输入内容是出现异常如下: 0x0F19B7EC (ucrtbased.dll)处(位于 ex6.exe 中)引发的异常: 0xC0000005: 写入位置 0x00 ...
- C# 合并DLL, 合并DLL进入EXE
原文:C# 合并DLL, 合并DLL进入EXE 使用方法非常简单 在项目属性窗口中,选择"生成事件",在"生成后事件命令行"下的文本框中输入 ilmerge / ...
- (xxx.dll)处(位于xxx.exe 中)引发的异常: 0xC0000005: 读取位置 0x0000003F 时发生访问冲突。已解决。
下面两个这种类型的报错都一样.(跟xxx.dll和xxx.exe都没关系) 0x794CECC1 (Qt5Cored.dll)处(位于 xxx.exe 中)引发的异常: 0xC0000005: 读取位 ...
- 使用VideoCapture进行读取时0x00007FF9A1F86A6F (opencv_world440d.dll)处(位于 opencvtest.exe 中)引发的异常
在读<OpenCV3编程入门>时,有下面一段代码 #include <opencv2/opencv.hpp> #include <iostream>using na ...
- msvcr110.dll php,windows,_msvcr110.dll丢失,vcredist_x64.exe设置失败,windows - phpStudy
msvcr110.dll丢失,vcredist_x64.exe设置失败 windows更新后打开xsehll报错,说缺少msvcr110.dll. 然后之前也遇到过这样,去下载msvcr110.dll ...
- 【软件后门】资源(dll、ocx、exe)语言切换(汉化)、图标更改
1.资源(dll.ocx.exe)语言切换(汉化) 推荐使用工具eXeScope.exe 2.图标修改 推荐使用工具ResHacker 3.5.exe 3.区域语言修改 推荐使用工具UltraEdit ...
- 安装Oracle10g客户端时出现报错:Error encountered when registering mfc40.dll,please run regsvr32.exe to register
大家好,我是个实习生小白,前几天在安装Oracle10g客户端时遇到了一个问题,费劲千辛万苦终于解决了,当时有上网查过解决方法,但都没有对应的解决方法,自己瞎摸胡搞了好长一段时间解决了,后知后觉,想要 ...
- 0x00007FFF77912079 (ucrtbased.dll)处(位于 Demo.exe 中)引发的异常: 0xC0000005: 写入位置 0x000000108FD40000 时发生访问冲突
VS中"This function or variable may be unsafe."警告的解决办法 Visual2019的scanf变成scanf_s 然后我就在scanf_ ...
最新文章
- 打一场AI竞赛,让你知道我的厉害
- 软件工程实训有必要吗_软件工程实训报告的总结.docx
- linux对当前使用的分区分割,实例解说Linux中fdisk分区使用方法
- PHP中的正则表达式函数
- oracle alter database close,alter database close
- perl查看文件,提取指定信息输出到文件
- 2021.9.8 华为笔试题第三题
- 电力系统的常用仿真模块MATLAB/SIMULINK(2)
- python输入一个三位整数、求逆序数_编写程序,从键盘输入一个三位数,求出其逆序数并输出,例如输入123,输出321。编写程序,从键盘输入一个三位数...
- 网易裁员事件引发的 5 点重要思考
- 快速上手efficient(keras)
- adobe illustrator 绘制平行四边形
- Python连锁药店营业额数据分析实验
- 初中计算机试题戏曲进校园,戏曲进校园的作文(精选5篇)
- 2018-05-18 docker supervisord进程管家
- redis查看某一个key的大小_redis查询key的内存大小
- 微商是如何推广的呢?
- 谁有全民一起mysql_我是Redis,MySQL大哥被我害惨了!
- Vue3 过10种组件通讯方式
- 人脸识别活体检测之张张嘴和眨眨眼——readme
热门文章
- 解决“WARN: Establishing SSL connection without server‘s identity verification is not recommended.”问题
- U盘启动盘安装Ubuntu 17.10麒麟
- 运维工程师和运维开发工程师区别有哪些?
- 如何使用 Docker 来安装 ONLYOFFICE Workspace 12.0?
- 深深的码丨Java NIO 透析
- [SCTF2019]Flag Shop erb模板注入
- 微信小程序实现图片或gif预加载
- css效果(两边渐渐消失的线、边框上下渐变)
- AMS TMF8820/21/28 confidence介绍
- 一分钟快速重启资源管理器