为什么要制造病毒来浪费我的宝贵时间啊!真是郁闷。
不过没办法,还是要和病毒做做斗争,战斗的武器不能失去啊。
首先仔细看一下Norton的提示:
Infostealer.Gampass病毒,感染文件是 Windows\System\system32.dll 文件。
首先尝试自行在安全模式下删除该文件,结果重新启动后,该文件又冒出来,再次感染病毒。看来需要求助一下Google了。
基本上得出以下结论:
1.Infostealer.Gampass可能并非特定的病毒,而是Norton对一类病毒的定义
2.基本上这是木马类病毒
3.不同的变种感染的文件可能完全不同
所以处理起来,真是要因情况而异。
清理这个病毒用了两个辅助工具:
1.SREng
参考下载地址: http://www.kztechs.com/sreng/sreng2.zip
本地下载地址: http://www.eygle.com/tools/sreng2.zip
System Repair Engineer,简称 SREng,是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏,并提供一系列的修改建议和自动修复方法。
使用这个软件扫描旨在确定哪些进程调用了病毒程序。
2.费尔木马强力清除助手
参考下载地址: http://dl.filseclab.com/down/powerrmv.zip
本地下载: http://www.eygle.com/tools/powerrmv.zip
使用这个工具可以强制清除感染文件并且防止再生,我使用这个软件清除了system32.DLL文件,然后在原位置生成了一个只读、隐藏的system32.DLL文件夹,这样病毒文件就无法生成出来了。
我尝试过手工创建只读的system32.DLL文件,但是发现没有用,最后还是被病毒替代了。
使用PowerRMV工作生效。
用Powerrmv清除文件,重启系统后,恢复正常,病毒文件没有再次生成。
不过具体是否还有其他隐患目前还无法确定,使用Norton进行全计算机扫描并未发现任何病毒。
姑且认为暂时安全吧!今晚的时间全TMD浪费了!
还可以尝试另一种方法
首先检查各分区根目录,没有发现 autorun.inf 的目录或可疑的可执行文件。 c:\windows 和 c:\windows\system32 两个系统目录,也是重点,发现下面有很多 " 数字 .exe" 或 " 数字 + 字母 .exe" 的文件以及同名的 .dll 文件,估计是病毒自动生成的,但这些绝对不是主体病毒文件,所以估计删除了也没太大作用,还是先删了再说。
病毒应该隐藏得更深一些。
接着开始检查注册表。
检查 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
四个键值下面的可疑程序,在后面两个键下面,果然发现如下的项有问题:
C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll
其中的 * 代表数字。
删除和上面两个文件有关的键,此时不能删除这两个文件。重启电脑进入安全模式,删除以上两个文件(在 c:\program files\internet explorer\ 下还发现一个 use32.dll 的文件,同样删掉。),这就是病毒的主体文件。再次全盘扫描,清除系统目录下的病毒尸体。重新启动,诺顿再也没有弹出警报。
分析了一下,这个病毒实际是个间谍软件,对系统没有太大影响和破坏力。诺顿可以查出这个病毒,也可以抑制,但由于病毒在系统启动时就加载了,所以诺顿无法彻底清除,故只能采用手动与自动相结合的办法来杀毒了。
Tags:
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。