昨天早上，一开机，我的防病毒软件Symantec Antivirus就拼命的上报发现病毒，名称为Infostealer，有的能够隔离成功，有些隔离、清除均失败。我想想，哦，好多天忘记升级最新病毒库了。于是登录到内网，下载了最新的病毒库，更新了一番，然后重新启动计算机。。。。。。
   奇怪！病毒仍然会不间断地跳出来，而且感觉机器渐渐慢了起来，我意识到这下真的中病毒了，不由地对制造病毒的家伙咒骂两句。给公司网管打了电话，说手头事情很多，处理不过来，要我等待。与其等待，还不如自己动手。
   我通过ctrl＋alt＋delete看了一下任务管理器中的进程，发现多了很多IEXPLORE的进程，可是我没有打开IE呀，何况多个网页界面也只是应该出现一个IEXPLORE呀。看来病毒是在恶意启动我的IEXPLORE了。我上网搜索了一下查杀Infostealer病毒的办法，几乎都推荐用手工清除，说找到一些××名称的文件，删除，然后改注册表信息，可是我在计算机中找了一圈，没有所说的木马程序文件。怎么办呢？
   为了不让计算机继续变慢，我下载了一个名为“冰刃”的软件（IceSword）。这个软件的最大好处是可以强行中止掉一些关不掉进程（通过windows的结束进程关不掉的）。我通过这个办法关掉了所有自己打开的IEXPLORE,可是过了一会，又会重新启动起来。Icesword还有一个功能是可以监视进线程创建。我仔细观察了一下，计算机自动通过其中的一个svchost调用ylive进程，然后再通过ylive创建IEXPLORE进程，再通过IEXPLORE进程不断复制产生新的进程。ylive是雅虎助手的运行进程，凭着感觉我认为首先木马驻留到了我的雅虎助手中，先清除它是关键，可是我根本不能卸载掉雅虎助手。
   我重新启动了计算机，进了安全模式，试图卸载掉雅虎助手，未果。于是我做了一个最大胆的决定，直接到雅虎助手文件的所在目录下进行手工删除，并且在注册表中把相关的雅虎助手自启动项都加了注释（增加rem即可），然后重新启动计算机，正常进入Windows。
   打开“冰刃”，我监视了进程一段时间，IEXPLORE进程终于不自动创建了，也没有其它多余的进程自己复制，嘿嘿，病毒看来不管用了。
   可是我的IE和雅虎助手都不能使用了，我考虑了一下，IE不能使用可能是因为我强行删除雅虎助手造成的，于是我迅速上网又重新安装了雅虎助手，重新启动机器。
   一切正常，这个可恶的“Infostealer”终于被我制服了。
   不禁有些得意，毕竟现在还没有什么专杀工具和其它好办法。。。。。。
   其实查找这个病毒的关键是通过“冰刃”判断出了木马驻留程序，还好，如果是驻留到Window的系统文件，切记不能这么删除了结。
   一点心得，共享之！

 

  

计算机技巧相关文章：

经常使用的一些Windows快捷键