前段時（shí）間有個同事（shì）說（shuō）他的諾頓不停的（de）出現高危警報對話框，關閉（bì）了又（yòu）彈（dàn）出，反複如此，嚴重影響了他（tā）的工作，請我幫（bāng）忙檢查一下是不（bú）是中了病毒。

我看了警報上提示的內容，是一個名為Infostealer.Gampass的病毒。從名字上看，應該是個盜取遊戲密碼的病毒，從現象上看，好像對係統（tǒng）中的文件並沒有什麽影響，係統運行也（yě）不慢（màn），隻是諾頓不（bú）斷彈出警報對話框（kuàng）確實是個問題，於是更新了（le）病毒庫，在文件選項中選擇顯示所有文件，再重新啟動到（dào）安全模式下全盤掃描。並告訴同（tóng）事完成後重啟電腦就（jiù）OK。

本以為是個小病毒，諾頓殺（shā）殺應該就沒問題了。結果一會同事打來電話說諾頓又開始彈出警報，還是（shì）那個病毒。看樣子是（shì）在注冊表中隱藏了什麽（me）自啟動的東東，說不（bú）定就（jiù）是（shì）這個病毒（dú）的主體（tǐ）文（wén）件，諾（nuò）頓不行，隻有手（shǒu）動來清（qīng）除了。

首先檢查（chá）各分區根目錄，沒有發（fā）現autorun.inf的目錄或可疑的可執行文件。c:\windows和c:\windows\system32兩個係統目錄，也是重點，發現下麵有很多（duō）"數（shù）字.exe"或"數字+字母.exe"的文件以及同名的.dll文件，估計是病毒自動生成的，但這些絕對不是主體病毒文件，所以估計刪除了也沒太（tài）大作用，還（hái）是先刪了再（zài）說。

    病（bìng）毒應該隱藏得更深一些。

    接著開始（shǐ）檢查注冊表。

    檢查HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN

           HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

           HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

    四個鍵值下麵（miàn）的可（kě）疑程序（xù），在後（hòu）麵兩個鍵下麵，果（guǒ）然發（fā）現如下的項有問題：

C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll

其中的*代表數字。

刪除和上麵兩個文件有關的鍵，此（cǐ）時不能刪除這兩個文件。重啟電（diàn）腦進入安全模式，刪除以上兩個文件（jiàn）（在c:\program files\internet explorer\下還發現一（yī）個use32.dll的文件，同樣刪掉。），這就（jiù）是（shì）病毒的主體文件。再次全盤掃描，清除係（xì）統目錄下的病毒屍體。重新啟動，諾頓再也沒有彈出警報。

分析了一下，這個病毒實際是個間（jiān）諜軟件，對係統沒有太大影響和破（pò）壞力。諾頓（dùn）可以查出這個病毒，也可以（yǐ）抑製，但由於病毒在係統啟動時就加載了，所以諾頓無法徹底清除，故隻能采用手動與自（zì）動（dòng）相結合（hé）的辦法來殺毒了。