保护系统 彻底清除Infostealer.Gampass病毒

前段时间有个同事说他的诺顿不停的出现高危警报对话框，关闭了又弹出，反复如此，严重影响了他的工作，请我帮忙检查一下是不是中了病毒。

我看了警报上提示的内容，是一个名为Infostealer.Gampass的病毒。从名字上看，应该是个盗取游戏密码的病毒，从现象上看，好像对系统中的文件并没有什么影响，系统运行也不慢，只是诺顿不断弹出警报对话框确实是个问题，于是更新了病毒库，在文件选项中选择显示所有文件，再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就OK。

本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。

首先检查各分区根目录，没有发现autorun.inf的目录或可疑的可执行文件。c:\windows和c:\windows\system32两个系统目录，也是重点，发现下面有很多"数字.exe"或"数字 字母.exe"的文件以及同名的.dll文件，估计是病毒自动生成的，但这些绝对不是主体病毒文件，所以估计删除了也没太大作用，还是先删了再说。

病毒应该隐藏得更深一些。

接着开始检查注册表。

检查HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

四个键值下面的可疑程序，在后面两个键下面，果然发现如下的项有问题：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表数字。

删除和上面两个文件有关的键，此时不能删除这两个文件。重启电脑进入安全模式，删除以上两个文件（在c:\program files\internet explorer\下还发现一个use32.dll的文件，同样删掉。），这就是病毒的主体文件。再次全盘扫描，清除系统目录下的病毒尸体。重新启动，诺顿再也没有弹出警报。

分析了一下，这个病毒实际是个间谍软件，对系统没有太大影响和破坏力。诺顿可以查出这个病毒，也可以抑制，但由于病毒在系统启动时就加载了，所以诺顿无法彻底清除，故只能采用手动与自动相结合的办法来杀毒了。

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有