winform.dll-1992C114-ghook.dll-upxdnd.exe病毒文件的清除

一、病毒分析：

病毒的表现就是下载了如上的文件到客户的机器上,同时开启1992C114的服务(在别的机器上可能会改名), 同时在操作系统根目录下安装2个根目录,下面的文件都是GDHOOK.DLL, svchost.exe. 同时开启UDP服务和外界通信, 并使用TCP和HTTP的方式和外界通信(截取客户机器的密码等有价值的资源).

二、清除方法： 字串6

1. 如果是WINDOWS XP, Windows Vista等可以系统还原的系统,直接使用系统还原功能恢复到前几天的某个状态. 当然这个操作的结果是你从那个还原点之后做的操作就无效了. 系统还原之后, 在c盘根目录和windows系统目录删除如上的文件. 字串6

2. 清楚所有的临时文件.
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。
字串1

3,在进行如下操作前，请不要进行任何双击打开磁盘的操作, 同时关闭系统还原操作(如果是xp, vista), 还有最好是安全模式下(如果你重新启动操作系统的话,我是建议在被感染过之后,不要重新启动机器, 直接手工删除)。 字串2

windows根目录下,如下的文件夹名字是随机生成的, 你可以使用在DOS界面下使用dir /a:h 来查看掩藏的文件夹. 同时进入到子目录后,使用

attrib -r -s -h ghook.dll,

2007-03-31  23:16    <DIR>          Syswm1i
2007-03-31  23:38    <DIR>          SysWsj7

gdhook.dll, svchost.exe

至于1992C114的service, 在注册表的这个位置,全部删除:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="C:\\windows\\system32\\1992C114.EXE -service"
"DisplayName"="1992C114"
"ObjectName"="LocalSystem"
"Description"="1992C114" 字串1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1992C114\Enum]
"0"="Root\\LEGACY_1992C114\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001.