前段時(shí)間有個(gè)同事說他的諾頓不停的出現(xiàn)高危警報(bào)對(duì)話框，關(guān)閉了又彈出，反復(fù)如此，嚴(yán)重影響了他的工作，請(qǐng)我?guī)兔z查一下是不是中了病毒。

我看了警報(bào)上提示的內(nèi)容，是一個(gè)名為Infostealer.Gampass的病毒。從名字上看，應(yīng)該是個(gè)盜取游戲密碼的病毒，從現(xiàn)象上看，好像對(duì)系統(tǒng)中的文件并沒有什么影響，系統(tǒng)運(yùn)行也不慢，只是諾頓不斷彈出警報(bào)對(duì)話框確實(shí)是個(gè)問題，于是更新了病毒庫，在文件選項(xiàng)中選擇顯示所有文件，再重新啟動(dòng)到安全模式下全盤掃描。并告訴同事完成后重啟電腦就OK。

本以為是個(gè)小病毒，諾頓殺殺應(yīng)該就沒問題了。結(jié)果一會(huì)同事打來電話說諾頓又開始彈出警報(bào)，還是那個(gè)病毒?？礃幼邮窃谧?cè)表中隱藏了什么自啟動(dòng)的東東，說不定就是這個(gè)病毒的主體文件，諾頓不行，只有手動(dòng)來清除了。

首先檢查各分區(qū)根目錄，沒有發(fā)現(xiàn)autorun.inf的目錄或可疑的可執(zhí)行文件。c:\windows和c:\windows\system32兩個(gè)系統(tǒng)目錄，也是重點(diǎn)，發(fā)現(xiàn)下面有很多"數(shù)字.exe"或"數(shù)字+字母.exe"的文件以及同名的.dll文件，估計(jì)是病毒自動(dòng)生成的，但這些絕對(duì)不是主體病毒文件，所以估計(jì)刪除了也沒太大作用，還是先刪了再說。

    病毒應(yīng)該隱藏得更深一些。

    接著開始檢查注冊(cè)表。

    檢查HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

    四個(gè)鍵值下面的可疑程序，在后面兩個(gè)鍵下面，果然發(fā)現(xiàn)如下的項(xiàng)有問題：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表數(shù)字。

刪除和上面兩個(gè)文件有關(guān)的鍵，此時(shí)不能刪除這兩個(gè)文件。重啟電腦進(jìn)入安全模式，刪除以上兩個(gè)文件（在c:\program files\internet explorer\下還發(fā)現(xiàn)一個(gè)use32.dll的文件，同樣刪掉。），這就是病毒的主體文件。再次全盤掃描，清除系統(tǒng)目錄下的病毒尸體。重新啟動(dòng)，諾頓再也沒有彈出警報(bào)。

分析了一下，這個(gè)病毒實(shí)際是個(gè)間諜軟件，對(duì)系統(tǒng)沒有太大影響和破壞力。諾頓可以查出這個(gè)病毒，也可以抑制，但由于病毒在系統(tǒng)啟動(dòng)時(shí)就加載了，所以諾頓無法徹底清除，故只能采用手動(dòng)與自動(dòng)相結(jié)合的辦法來殺毒了。