打印

彻底清除Infostealer.Gampass病毒

vista

主管

Rank: 4

发短消息
加为好友
当前离线

1^# 大中小发表于 2007-11-5 19:41 只看该作者

彻底清除Infostealer.Gampass病毒

彻底清除Infostealer.Gampass病毒" V: a/ K. V+ k* p8 T/ l8 U

前段时间有个同事说他的诺顿不停的出现高危警报对话框，关闭了又弹出，反复如此，严重影响了他的工作，请我帮忙检查一下是不是中了病毒。
$ o, J- ~4 N2 @5 O7 ~8 x
我看了警报上提示的内容，是一个名为 Infostealer.Gampass 的病毒。从名字上看，应该是个盗取游戏密码的病毒，从现象上看，好像对系统中的文件并没有什么影响，系统运行也不慢，只是诺顿不断弹出警报对话框确实是个问题，于是更新了病毒库，在文件选项中选择显示所有文件，再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就 OK 。

4 Y; q; u( ^- w' s; t3 I2 r4 e" i
本以为是个小病毒，诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报，还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东，说不定就是这个病毒的主体文件，诺顿不行，只有手动来清除了。 . @# I3 B9 k) f9 m2 h0 ]# R

首先检查各分区根目录，没有发现 autorun.inf 的目录或可疑的可执行文件。 c:\windows 和 c:\windows\system32 两个系统目录，也是重点，发现下面有很多 " 数字 .exe" 或 " 数字 + 字母 .exe" 的文件以及同名的 .dll 文件，估计是病毒自动生成的，但这些绝对不是主体病毒文件，所以估计删除了也没太大作用，还是先删了再说。 8 M6 }( k  }4 [
$ Q4 T& B# q' E( `% d  |* B

病毒应该隐藏得更深一些。
. J3 L- h3 p% k# m
" y3 x2 X. X2 E$ F
接着开始检查注册表。

检查 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN ! `& }; Q( N2 j! n

# T$ U. ]/ }# Y/ C+ t6 }. J1 n0 U
         HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 6 @5 L' u8 C- p& }0 j, Q
* h9 c/ ?$ A0 Q5 \% k% V

         HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

3 N$ Z3 u( j4 B. w9 h9 \
         HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN ! H5 ~* b! ?- x1 J' H0 n8 K1 f
6 o* t% K% p, A( i  z. \8 U8 O

四个键值下面的可疑程序，在后面两个键下面，果然发现如下的项有问题： 7 a$ A* s+ P3 f. l/ ^4 L' }9 b6 D

- y, B. T3 ~$ O8 B% a) @5 M! Z' }
C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll " x7 @5 V( q, ]1 j4 f, y9 e

其中的 * 代表数字。 - R# J9 v4 J) H
# s5 |6 Z+ {! u9 v7 q, i# y

删除和上面两个文件有关的键，此时不能删除这两个文件。重启电脑进入安全模式，删除以上两个文件（在 c:\program files\internet explorer\ 下还发现一个 use32.dll 的文件，同样删掉。），这就是病毒的主体文件。再次全盘扫描，清除系统目录下的病毒尸体。重新启动，诺顿再也没有弹出警报。

2 O) ~) O7 ~! N. C! L) i
分析了一下，这个病毒实际是个间谍软件，对系统没有太大影响和破坏力。诺顿可以查出这个病毒，也可以抑制，但由于病毒在系统启动时就加载了，所以诺顿无法彻底清除，故只能采用手动与自动相结合的办法来杀毒了。

做人最基本的原则：看帖要回帖！！！