前段时间有同事说他的诺顿不断出现高危警告对话框,一次次关闭弹出,严重影响工作。请帮我检查一下我是否感染了病毒。
我看了警报的内容。是一个名为info stealter . gam pass的病毒,从名字上看应该是一个窃取游戏密码的病毒。从现象上看,好像对系统里的文件没什么影响,系统也不慢。
只是诺顿一直弹出报警对话框真的是个问题,所以他更新了病毒库,选择在文件选项中显示所有文件,然后在安全模式下重启全面扫描。并告诉同事,完成后重启电脑就可以了。
我以为是个小病毒,诺顿查杀应该没问题。结果同事打电话说诺顿又开始弹出警报了,还是那个病毒。注册表里好像藏着自启动的东西,可能是这个病毒的主文件。诺顿做不到,只能手动清理。
首先检查每个分区的根目录,没有发现autorun.inf或者可疑可执行文件的目录。两个系统目录c:\windows和c:\windows\system32也很重要。
发现有许多‘数字’。exe”或“字母数字。“exe”文件和。同名的dll文件,估计是病毒自动生成的,但这些肯定不是主要的病毒文件,所以删除估计用处不大,还是先删除比较好。
病毒应该藏得更深。
然后开始查注册表。
Check that HKCU \ Software \ Microsoft \ WINDOWS \ current version \ is running.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
这个可疑的程序在四个键值下,在后面两个键值下,确实发现了以下几项有问题:
C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll
其中*代表数字。
删除与上述两个文件相关的键。此时无法删除这两个文件。重启计算机进入安全模式,
删除以上两个文件(在C:\ program files \ Internet Explorer \下也发现了一个use32.dll的文件,也删除了。),这是病毒的主文件。再扫描一遍,
从系统目录中删除病毒体。重启,诺顿再也不会弹出警报。
经过分析,这种病毒其实是间谍软件,对系统的影响和破坏力很小。诺顿可以检测到这种病毒,但也可以抑制它。但由于病毒是在系统启动时加载的,诺顿无法完全清除,只能手动和自动杀毒。