科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Infostealer.Gampass病毒的手动删除方法

Infostealer.Gampass病毒的手动删除方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

前段时间有个同事说他的诺顿不停的出现高危警报对话框,关闭了又弹出,反复如此,严重影响了他的工作,请我帮忙检查一下是不是中了病毒。看样子是在注册表中隐藏了什么自启动的东东,说不定就是这个病毒的主体文件,诺顿不行,只有手动来清除了。

作者:论坛整理 来源:zdnet网络安全 2008年3月21日

关键字: 病毒 防病毒 病毒防范 反病毒 木马 杀毒软件

  • 评论
  • 分享微博
  • 分享邮件

前段时间有个同事说他的诺顿不停的出现高危警报对话框,关闭了又弹出,反复如此,严重影响了他的工作,请我帮忙检查一下是不是中了病毒。我看了警报上提示的内容,是一个名为Infostealer.Gampass的病毒。

从名字上看,应该是个盗取游戏密码的病毒,从现象上看,好像对系统中的文件并没有什么影响,系统运行也不慢,只是诺顿不断弹出警报对话框确实是个问题,于是更新了病毒库,在文件选项中选择显示所有文件,再重新启动到安全模式下全盘扫描。并告诉同事完成后重启电脑就OK。 Infostealer.Gampass病毒的删除方法

本以为是个小病毒,诺顿杀杀应该就没问题了。结果一会同事打来电话说诺顿又开始弹出警报,还是那个病毒。看样子是在注册表中隐藏了什么自启动的东东,说不定就是这个病毒的主体文件,诺顿不行,只有手动来清除了。

首先检查各分区根目录,没有发现autorun.inf的目录或可疑的可执行文件。c:\windows和c:\windows\system32两个系统目录,也是重点,发现下面有很多"数字.exe"或"数字+字母.exe"的文件以及同名的.dll文件,估计是病毒自动生成的,但这些绝对不是主体病毒文件,所以估计删除了也没太大作用,还是先删了再说。

病毒应该隐藏得更深一些。

接着开始检查注册表,检查

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION

\POLICIES\EXPLORER\RUN

HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION

\POLICIES\EXPLORER\RUN

四个键值下面的可疑程序,在后面两个键下面,果然发现如下的项有问题:

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表数字。

删除和上面两个文件有关的键,此时不能删除这两个文件。重启电脑进入安全模式,删除以上两个文件(在c:\program files\internet explorer\下还发现一个use32.dll的文件,同样删掉。),这就是病毒的主体文件。再次全盘扫描,清除系统目录下的病毒尸体。重新启动,诺顿再也没有弹出警报。

分析了一下,这个病毒实际是个间谍软件,对系统没有太大影响和破坏力。诺顿可以查出这个病毒,也可以抑制,但由于病毒在系统启动时就加载了,所以诺顿无法彻底清除,故只能采用手动与自动相结合的办法来杀毒了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章