中毒拉！！！（Infostealer.Gampass）谁教我杀这个病毒！！！

病毒名称：（Infostealer.Gampass）自从中了这个病毒以来，我每天都很烦快要崩溃了！求求大哥大姐叔叔阿姨们，你们帮帮我吧！！！

如果真能杀死它，我一定追加高分！！！！！！！

我教你吧！

Infostealer.Gampass的中毒症状： 1、Infostealer.Gampass是一种木马病毒,由于这种木马带有生成伪装系统文件，所以给手动清除感染了Infostealer.Gampass的文件造成迷惑，需要十分小心分辨。 2、 Infostealer.Gampass会通过系统保护项重复生成感染。 3、 Infostealer.Gampass也可能会在C:\Documents and Settings\系统用户名\Local Settings\Temp\生成1.exe、2.exe等可执行文件进行破坏exe关联。 4、中毒后，病毒修改了系统执行关联，控制不能执行.exe的命令，重启电脑系统后会导致病毒防火墙等都不能启动。此时IE执行的命令文件是病毒文件 Program Files\Internet Explorer\iexplore.com，故上网时不能直接使用IE执行，有存在Windows\explorer.com也要先删除。 Infostealer.Gampass病毒清除方法: 1.进入安全模式,将文件夹选项设置为:显示所有的文件,显示文件后缀名,目的是为了清除相应的病毒文件(如上对Infostealer.Gampass 症状的描述1.exe,2.exe...等)。再清空临时文件。如果有超级兔子等就方便清除了，如果没有就只好手动清除。在我的电脑地址栏上输入(或者直 接去找到这几个文件夹)： C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\Content.IE5\ C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\ C:\Documents and Settings\用户名\Local Settings\Temp\ 这些都是存放临时文件(如上网时留下)的地方，清空里面的所有文件。 2.清除Infostealer.Gampass病毒在注册表中生成的键值。 第一步：打开注册表，找到以下键值：HKCU\Softwart\Microsoft\Windows\CurrentVersion\policies \Explorer\Run\HKLM\Softwart\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ 第二步：删除下面与以下两个文件有关的键值：C:\windows\system32\winbill*.dll, c:\program files\internet explorer\use19.dll其中*代表数位数字。 3.在运行栏目输入msconfig,查看启动程序,去掉可疑的启动程序. 4.重起电脑,将杀毒软件病毒库更新,进行全盘查杀 (您是不是也在找infostealer.gampss的清除方法呢?顺带一句infostealer.gampass == infostealer.gampss) 现在用360最新版本就可以杀除！

« 支持国货 拒绝互联 | Blog首页 | Oracle view V$SQLAREA Definition »

Infostealer.Gampass病毒的清除方法作者：eygle | English Version 【转载时请以超链接形式标明文章出处和作者信息及本声明】 链接： http://www.eygle.com/archives/2007/08/kill_infostealer_gampass.html站内相关文章|Related Articles

如何彻底删除MSN9 及 清理 IMSC12

C:\WINDOWS\Installer文件夹的安全清理

史上最强黑屏行动-微软20日黑屏反盗版验证

DWQueuedReporting与dwtrig20.exe进程

微软发布 Windows XP SP3 补丁包

今天是我异常繁忙的一天，马不停蹄的处理了一个有一个Case，然后回家照顾小猫咪。

当Baby睡去，我打开电脑计划写点东西的时候，一个病毒跳出来：Infostealer.Gampass 我当时的心情可以用四个字来形容：义愤填膺！

为什么要制造病毒来浪费我的宝贵时间啊！真是郁闷。 不过没办法，还是要和病毒做做斗争，战斗的武器不能失去啊。

首先仔细看一下Norton的提示： Infostealer.Gampass病毒，感染文件是 Windows\System\system32.dll 文件。

首先尝试自行在安全模式下删除该文件，结果重新启动后，该文件又冒出来，再次感染病毒。看来需要求助一下Google了。

基本上得出以下结论： 1.Infostealer.Gampass可能并非特定的病毒，而是Norton对一类病毒的定义 2.基本上这是木马类病毒 3.不同的变种感染的文件可能完全不同

所以处理起来，真是要因情况而异。

清理这个病毒用了两个辅助工具：

1.SREng 参考下载地址： http://www.kztechs.com/sreng/sreng2.zip 本地下载地址: http://www.eygle.com/tools/sreng2.zip System Repair Engineer，简称 SREng，是一款计算机安全辅助和系统维护辅助软件。主要用于发现、发掘潜在的系统故障和大多数由于计算机病毒造成的破坏，并提供一系列的修改建议和自动修复方法。

使用这个软件扫描旨在确定哪些进程调用了病毒程序。

2.费尔木马强力清除助手 参考下载地址： http://dl.filseclab.com/down/powerrmv.zip 本地下载： http://www.eygle.com/tools/powerrmv.zip 使用这个工具可以强制清除感染文件并且防止再生，我使用这个软件清除了system32.DLL文件，然后在原位置生成了一个只读、隐藏的system32.DLL文件夹，这样病毒文件就无法生成出来了。

我尝试过手工创建只读的system32.DLL文件，但是发现没有用，最后还是被病毒替代了。 使用PowerRMV工作生效。

用Powerrmv清除文件，重启系统后，恢复正常，病毒文件没有再次生成。

不过具体是否还有其他隐患目前还无法确定，使用Norton进行全计算机扫描并未发现任何病毒。 姑且认为暂时安全吧！今晚的时间全TMD浪费了！

检测和删除 手工删除 按照以下步骤从您的机器删除InfoStealer。先备份您的注册表和系统，并设置一个还原点，防止发生错误。 停止运行进程: 利用任务管理器停止以下运行进程： %windows%\backup.exe %system%\winrarshell32.exe w32bumaf-c.exe 删除自动运行的引用: 访问 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 如果找到值 HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell，立即删除并重启机器 清除注册表: 使用注册表编辑器清除以下注册项（如果存在）： HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winrarshell HKEY_CURRENT_USER\software\bgm HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run backup 删除文件: 使用资源管理器删除以下文件（如果存在）： w32bumaf-c.exe %system%\winrarshell32.exe %windows%\backup.exe