一次奇怪的清除“Backdoor.Gpigon.5.cd”的经历
今天我用瑞星扫描电脑,在内存中发现病毒“Backdoor.Gpigon.5.cd”,被感染文件居然是IEXPLORE.EXE。我用瑞星清除成功。可是重启电脑后发现病毒还在,反复多次无法清除。
我发现只有用瑞星扫描内存时才查出病毒,位置是C:\Program Files\Internet Explorer\IEXPLORE.EXE,而直接扫描“IEXPLORE.EXE”则查不出病毒。重启立即查看进程发现有两个IE的进程,马上用瑞星查出病毒并清除后,看见一个IE进程消失。所以我怀疑是病毒伪装成IE运行,于是又用木马克星查看IE运行的相关文件,发现可疑的"System_Hook.Dll"、"Systemkey.Dll"和"System.Dll",这些很像灰鸽子的病毒文件。所以我在安全模式下在C:\WINDOWS中找到了以上文件删除之,修复注册表,并且为了保险把IEXPLORE.EXE先删到回收站里(怕它会利用IE再次复活)。
再重启电脑,察看进程令我大吃一惊:又出现一个"G_Server2.0.exe"的进程,用瑞星一查又是:Backdoor.Gpigon.5.cd,看来这次它现了原形,可是却找不到这个文件。无奈,我又回到安全模式下在C:\WINDOWS中找到这个东西删除之,同时删除G_Server2.0.Dll、G_Server2.0_Hook.Dll、G_Server2.0key.Dll、System_Hook.Dll、Systemkey.Dll、System.Dll、System.exe。又在注册表中找到其相关服务删除。重启后检查无病毒。拖回IE检查,也无病毒,看来IE本身无毒,是被病毒修改随其运行的。
经过这件事后我不禁感叹这个病毒感染的实在太奇怪,居然第一次用瑞星查不到病毒文件本身,伪装的太厉害了,给清除带来了不少麻烦。杀毒软件不是万能的,我们在杀毒的过程中还是要自己多观察啊。哎,这次也许是我幸运,下次不知又会被什么东西整了,大家以后也多小心呀!
瑞星要加油呀,这类病毒虽然查出来,可是除不净,想想办法!!
