昨天早上开机不久,弹出个窗口:"Faulting application logo1_.exe,fault address 0x000019ca!"
不久又弹出个窗口,内容差不多,不过这回是"rundl132.exe"
看名字就知道有古怪!感觉系统变慢,查之.

运行hijackthis.exe(下载地址：/html/virus/shaduruanjian/20070221/1808.html),发现几个有趣的启动项:

O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [wsvbs] C:\WINDOWS\SMSS.EXE
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\SERVICES.EXE

fix it!

在WINDOWS目录下按日期排列看到今天多了几个文件:
SMSS.EXE
SERVICES.EXE
logo1_.exe
richdll.dll
杀之!
richdll.dll杀不掉,信息是"正在应用"!
打开cmd,输入:tasklist /m >d:\check.txt
在check.txt搜richdll.dll,原来在explorer.exe里面!
看来是线程注入explorer.exe!
没关系,上面那些主文件杀掉后,重起就注入不了啦!杀之~~~

WINDOWS目录还多了个文件夹:
 C:\WINDOWS\uninstall\
里边有rundl132.exe.
delete folder!

世界清静了!

到了下午,Norton才发现个病毒尸体
"C:\WINDOWS\SYSTEM32\MPPDS.DLL"
才知道此病毒的名字叫:"Infostealer.Gampass"

Norton整整慢了半天啊!
这个时候我们的IT Admin出现了,因为其他电脑都报发现病毒!
他无非是进安全模式,扫杀!却怎么都杀不干净.因为已经感染很多文件啦~

不关我事,我机无事! :)

后记：c:\System Volume Information\ 这个地方一定要扫，防止死灰复燃！

系统要打上最新补丁 | patch it up!堵住病毒入侵之门！

若对系统操作不熟练，无法实施手工清除，可以下载方舟广谱病毒疫苗，运行arksafe1.bat后，按1键即可清除。若此病毒变种，可以按9在线升级病毒库，若病毒库也不没有此病毒名，可以参考方舟广谱病毒疫苗中的说明readme.txt，自定义加入病毒名。并给本站留言，我们将及时升级病毒包。

方舟广谱病毒疫苗下载地址：/view-398.html