清除1992C114, ghook.dll, winform.dll, upxdnd.exe

(http://www.hays.com.cn/viewthread.php?tid=152&page=1&extra=page%3D1#pid164)

昨日遭受几年来的第一次病毒,  包含的文件有1992c114, ghook.dll, winform.dll, svchost.exe等. 花费近2个小时的时间,终于将其清除, 病毒的作者非常的狡猾和病态, 我强烈的谴责这种没有职业道德的恶劣和无耻的行为.

我是在上了浏览了某个PAGE后中毒的. 病毒的表现就是下载了如上的文件到客户的机器上,同时开启1992C114的服务(在别的机器上可能会改名), 同时在操作系统根目录下安装2个根目录,下面的文件都是GDHOOK.DLL, svchost.exe. 同时开启UDP服务和外界通信, 并使用TCP和HTTP的方式和外界通信(截取客户机器的密码等有价值的资源).

病毒的作者非常的病态, 同时也非常的低级和恶劣. 所有通信的服务器,都是明码写在程序中,当然不是明码也是非常轻松的查出来.  我建议该作者不要将其用做经济来源,否则肯定受到法律的严惩. 鉴于"保护"该病态作者的心理,我就不公布该病态作者的服务器了.

病毒在到客户的机器后, 立刻停掉杀毒软件.

正版norton antivirus只能查找那些EXE程序的病毒, 对于上面的那些DLL,她无能为力,查不出来.

清除建议,

1. 如果是WINDOWS XP, Windows Vista等可以系统还原的系统,直接使用系统还原功能恢复到前几天的某个状态. 当然这个操作的结果是你从那个还原点之后做的操作就无效了. 系统还原之后, 在c盘根目录和windows系统目录删除如上的文件.

2. 清楚所有的临时文件.
清除IE的临时文件：打开IE 点工具-->Internet选项 : Internet临时文件，点“删除文件”按钮 ，将 删除所有脱机内容 打勾，点确定删除。

3,在进行如下操作前，请不要进行任何双击打开磁盘的操作, 同时关闭系统还原操作(如果是xp, vista), 还有最好是安全模式下(如果你重新启动操作系统的话,我是建议在被感染过之后,不要重新启动机器, 直接手工删除)。

windows根目录下,如下的文件夹名字是随机生成的, 你可以使用在DOS界面下使用dir /a:h 来查看掩藏的文件夹. 同时进入到子目录后,使用

attrib -r -s -h svchost.exe

attrib -r -s -h ghook.dll,

这样你就可以看到那2个文件了, 在del *.*删除那2个文件,进入到上级目录,再将这些目录删除.
C:/windows/msccrt.exe

2007-03-31  23:16   

          Syswm1i
2007-03-31  23:38              SysWsj7

gdhook.dll, svchost.exe

至于1992C114的service, 在注册表的这个位置,全部删除:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"="C://windows//system32//1992C114.EXE -service"
"DisplayName"="1992C114"
"ObjectName"="LocalSystem"
"Description"="1992C114"

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,/
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,/
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,/
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,/
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,/
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,/
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/1992C114/Enum]
"0"="Root//LEGACY_1992C114//0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001.

 由于时间关系,我就不多写了,祝大家愉快! 如果有进一步的更新,可以到这里参考: http://www.liveaa.com, or http://www.sharemm.net