前段时【qián duàn shí】间有个👩同事说【tóng shì shuō】他的诺【tā de nuò】顿不停【dùn bú tíng】😌的出现👏高危警【gāo wēi jǐng】🖌报对话框，关闭了🧢又弹出【yòu dàn chū】🔵，反复如此【cǐ】，严重影响了他的工作，请我帮忙检查🛋一下是不是中了病毒。

我看了【wǒ kàn le】警报上提示的内容，是一个【shì yī gè】名为【míng wéi】Infostealer.Gampass的病毒。从名字【cóng míng zì】上看，应该是👸个盗取【gè dào qǔ】游戏密🗨码的病🔝毒，从现象【cóng xiàn xiàng】上看，好像对🧛系统中🐆的文件【de wén jiàn】🔕并没有什么影响，系统运🧞行也不慢【màn】，只是诺🦌顿不断🈚弹出警报对话【bào duì huà】框确实【kuàng què shí】🎒是个问题，于是更新了病毒库【dú kù】，在文件【wén jiàn】🚽选项中选择显示所有文件【wén jiàn】，再重新启动到【qǐ dòng dào】安全模式下全🏝盘扫描✊。并告诉🕯同事完【tóng shì wán】成后重【chéng hòu chóng】👉启电脑就OK。

本以为【běn yǐ wéi】🤟是个小病毒【bìng dú】，诺顿杀🕓杀应该💸就没问题了【tí le】。结果一【jié guǒ yī】会同事🏺打来电话说诺【huà shuō nuò】顿又开【dùn yòu kāi】🥢始弹出警报🙍，还是那✳个病毒【bìng dú】。看样子【kàn yàng zǐ】🐞是在注【shì zài zhù】册表中✒隐藏了什么自启动的东东，说不定【shuō bú dìng】👽就是这【jiù shì zhè】个病毒【bìng dú】的主体文件，诺顿不行，只有手动来清除了。

首先检查各分【chá gè fèn】区根目录，没有发🎀现【xiàn】autorun.inf的目录【de mù lù】📙或【huò】可疑的【de】✒可执行【kě zhí háng】文件【wén jiàn】。c:\windows和c:\windows\system32两个系【liǎng gè xì】统目录，也是重🦆点🕳，发现【xiàn】下🚌面有很多【duō】"数字【shù zì】🚁.exe"或【huò】"数字【shù zì】🚁+字母【zì mǔ】.exe"的【de】✒文件【wén jiàn】以及同名的【de】🌥.dll文件【wén jiàn】，估计是🚡病毒自动生成的【de】✒，但这些绝对不💮是主体病毒文件【wén jiàn】，所以估计删除了也没👱太大作🙅用，还是先删了再【shān le zài】说。

    病毒应【bìng dú yīng】该隐藏【gāi yǐn cáng】🐷得更深🏖一些。

    接着开🐿始检查【shǐ jiǎn chá】注册表。

    检查【jiǎn chá】🎀HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

    四个键🥥值下面🦖的可疑程序【chéng xù】，在后面两个键下面🦖，果然发【guǒ rán fā】现如下【xiàn rú xià】的项有【de xiàng yǒu】❌问题🌀：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表数字。

删除和【shān chú hé】上面两个文件【gè wén jiàn】🎦有关的😶键【jiàn】，此时不🌒能删除这两个🔍文件【jiàn】🎦。重启电脑进入【nǎo jìn rù】安全模【ān quán mó】式🔶，删除以上两个【shàng liǎng gè】🏫文件【jiàn】🎦（在🕯c:\program files\internet explorer\下还发【xià hái fā】现一个use32.dll的文件【jiàn】🤪，同样删掉。），这就是🔷病毒的主体文件【jiàn】🎦。再次全【zài cì quán】盘扫描，清除系【qīng chú xì】🥞统目录下的病📪毒尸体【dú shī tǐ】。重新启动➿，诺顿再也没有弹出警报【bào】。

分析了一下，这个病毒实际【dú shí jì】🆒是个间谍软件【dié ruǎn jiàn】🐷，对系统没有太💡大影响和破坏【hé pò huài】👽力【lì】。诺顿可🥧以查出这个病毒，也可以【yě kě yǐ】抑制，但由于病毒在系统启动时就加载了🈲，所以诺【suǒ yǐ nuò】顿无法【dùn wú fǎ】彻底清【chè dǐ qīng】😪除【chú】，故只能采用手动与自👛动相结合的办法来杀🛎毒了【dú le】🕷。