前段时间有同事说他的诺顿一直出现高危报警对话框,关闭后又一次次弹出,严重影响工作。请让我检查它是否感染了病毒。
我看了警报上的提示。这是一种名为信息窃取者的病毒。Gampass从名字上看,应该是一种窃取游戏密码的病毒。从现象上看,似乎对系统中的文件没有什么影响,系统运行也不慢。只是诺顿一直弹出报警对话框,确实是个问题。于是它更新了病毒库,选择在文件选项中显示所有文件,然后重启在安全模式下扫描所有文件。并告诉同事完成后重启电脑。
我以为是小病毒,诺顿查杀应该没问题。结果有同事打电话来说诺顿又开始弹出警报了,而且是同一个病毒。注册表里好像藏着自启动的东西。可能是这个病毒的主文件吧。诺顿做不到,只能手动清除。
首先,检查每个分区的根目录。没有找到autorun.inf目录或可疑的可执行文件。c:\windows和c:\windows\system32两个系统目录也是重点。发现有许多“digital.exe”或“alphanumeric.exe”文件。下面是同名的dll文件。估计是病毒自动生成的,但这些肯定不是主要的病毒文件,所以删除也没多大区别。先删了吧。
病毒应该藏得更深。
然后开始查注册表。
检查hkcu \ software \ Microsoft \ windows \ current version \ run
HKLM \软件\微软\ WINDOWS \当前版本\运行
HKCU \软件\微软\ WINDOWS \当前版本\策略\资源管理器\运行
HKLM \软件\微软\ WINDOWS \当前版本\策略\资源管理器\运行
可疑程序在四个键值下,在最后两个键值下,确实发现以下几项有问题:
C:\windows\system32\winbill*。dll,c:\ program files \ internet explorer \ use 19 . dll
其中*代表数字。
删除与上述两个文件相关的键。此时您不能删除这两个文件。重启电脑进入安全模式,删除以上两个文件(C:\ Program Files \ Internet Explorer \下还有一个use32.dll文件,也删除了。),也就是病毒的主文件。再次扫描,并从系统目录中删除病毒体。重启,诺顿再也不会弹出警报。
经过分析,这种病毒其实是一种间谍软件,对系统的影响和破坏力很小。诺顿可以检测到这种病毒,也可以对其进行抑制,但是由于病毒是在系统启动时加载的,诺顿无法完全清除,所以只能使用手动和自动的方法来查杀病毒。