擺脫GaoBot.AZ

被木馬折磨了四五天，都是感覺後臺有個什麼程序在運行，總是佔用前臺程序的焦點，但就是找不到異常的進程。終於在昨天啓動機器後立即打開任務管理器，發現 “IEXPLORER.exe”一閃而過，動手檢查，發現在C:/Windows/system32下有個同名文件，肯定是病毒了。因爲IE本身是不在 C:/Windows/system32下的，而且文件名也不同。再檢查文件日期，也是9月2日的。嘗試刪除，立即就重建了該文件，進一步肯定了猜測。
萬里長征才第一步，上網一查，類似一個叫“高波”的木馬，2003年的東東了，想必norton應該可以吧。先用Symantec企業版掃描了 system32，居然一無所獲，然後換成Kapersky，也沒效果，沒辦法，又卸掉其他，裝上了Norton Antivirus 2005，還是沒效果。鬱悶中，重啓到安全模式，還下載了Symantec上的專殺工具，掃描一遍居然還是沒有任何動作，報沒有發現病毒，暈……
今天仔細上網搜索，發現“高波”真是厲害，居然有N個變種，主要就是後面的編號。到國內外普遍google了一把，只發現AZ的和咱機器比較接近，都是生 成那個文件，不同在於AZ的後臺就是IEXPLORER.exe，而我的那個平時不顯示出來。Symantec網站上有詳細說明，不過查殺方法是升級病毒 庫，然後全掃描，並安裝微軟的補丁。可是我不僅一直是最新的病毒庫，而且安裝了所有的補丁。不管它，死馬當活馬醫。到CNOUG上一問，還把“自由鷹王” 這個老鳥給拽出來了，^_^ 進一步堅定了我的信念。
回來進入安全模式，運行regedit，然後進入HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Run，刪除“IEXPLORER.exe”那項，這樣啓動時就不會加載了，然後順手又搜索出一個項目，刪除。進C:/ Windows/system32，按照時間排序，還有一個dll文件也是9月2日的，同一個時間，看來就是病毒源了，幹掉。
重啓後進入正常模式，世界終於清靜了……
看來裝全補丁、升級完病毒庫也不代表萬事大吉，還是得當心啊。殺毒軟件也不可全信吶，sigh……

補充一下病毒說明^_^：http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.az.html