昨日遭受几年来的第一次病毒, 包含的文件有1992c114, ghook.dll, winform.dll, svchost.exe等. 花费近2个小时的时间,终于将其清除, 病毒的作者非常的狡猾和病态, 我强烈的谴责这种没有职业道德的恶劣和无耻的行为. 我是在上了浏览了某个PAGE后中毒的. 病毒的表现就是下载了如上的文件到客户的机器上,同时开启1992C114的服务(在别的机器上可能会改名), 同时在操作系统根目录下安装2个根目录,下面的文件都是GDHOOK.DLL, svchost.exe. 同时开启UDP服务和外界通信, 并使用TCP和HTTP的方式和外界通信(截取客户机器的密码等有价值的资源). 病毒的作者非常的病态, 同时也非常的低级和恶劣. 所有通信的服务器,都是明码写在程序中,当然不是明码也是非常轻松的查出来. 我建议该作者不要将其用做经济来源,否则肯定受到法律的严惩. 鉴于"保护"该病态作者的心理,我就不公布该病态作者的服务器了. 病毒在到客户的机器后, 立刻停掉杀毒软件. 正版norton antivirus只能查找那些EXE程序的病毒, 对于上面的那些DLL,她无能为力,查不出来. 清除建议: 1. 如果是WINDOWS XP, Windows Vista等可以系统还原的系统,直接使用系统还原功能恢复到前几天的某个状态. 当然这个操作的结果是你从那个还原点之后做的操作就无效了. 系统还原之后, 在c盘根目录和windows系统目录删除如上的文件. 2. 清楚所有的临时文件. 3,在进行如下操作前,请不要进行任何双击打开磁盘的操作, 同时关闭系统还原操作(如果是xp, vista), 还有最好是安全模式下(如果你重新启动操作系统的话,我是建议在被感染过之后,不要重新启动机器, 直接手工删除)。 windows根目录下,如下的文件夹名字是随机生成的, 你可以使用在DOS界面下使用dir /a:h 来查看掩藏的文件夹. 同时进入到子目录后,使用 attrib -r -s -h svchost.exe attrib -r -s -h ghook.dll, 这样你就可以看到那2个文件了, 在del *.*删除那2个文件,进入到上级目录,再将这些目录删除: 2007-03-31 23:16 <DIR> Syswm1i gdhook.dll, svchost.exe 至于1992C114的service, 在注册表的这个位置,全部删除: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114\Enum] 电脑软硬件应用网站长注解:以上解决教程可能部分网友不懂某个步骤的操作,可以到电脑门诊提问。地址:sos.45its.com 关于无法正常显示隐藏文件的解决这里提供这遍文章可代替本文中隐藏文件显示的部分,可能会简单点。地址:www.45its.com/Article/pc120/Fault/200612/14165.htm,希望对大家有帮助。 |