病毒—Win32/Gamarue

中了一個U盤病毒，費了好大勁才弄清是什麼毒，記錄在這裡，以為有需要的人。

百度百科上有這個病毒的介紹：這裡是連結。

下面是我的記錄：

一、病毒症狀:

U盤傳播,中毒的U盤隻顯示一個快捷方式，該快捷方式以＂Ｕ盤名字＋容量＂的方式命名，如：　kingston(4G).

打開檔案夾中隐藏設定：　顯示隐藏檔案＋顯示系統保護的檔案，之後可以看到４個檔案：

1. autorun.inf

2. ~$W****.FAT　動态連結庫檔案

3. thumbs.db　說是病毒主體檔案

4. desktop.ini

5. 一個隐藏檔案夾，裡面放了原來Ｕ盤的内容．

快捷方式連結到　system32\rundll32.exe ~$W****.FAT crys...

當打開快捷方式時能打開原來檔案，但是當删除~$W****.FAT後，就提示檔案丢失，打不開快捷方式，找不到原檔案．

目前不能确定有無其他危害，也許隻是一個惡作劇代碼，隻要U盤插入有毒電腦，即會感染病毒。

二、解決方法

A. 病毒在相應臨時檔案夾中存在惡意檔案（我的例子），分别為

1. C:\Temp\TrustedInstaller.exe

2. C:\Users\S\Local setting\Temp\msexfa.exe (檔案夾在多個temp目錄都有可能，檔案名随機）

将以上檔案全部删除，為了確定全面清除，要将所有$Temp$中的.exe，.dll檔案全部删除,另外發現.bat批處理、.scr屏保檔案也是病毒。是以，可疑檔案全部删除。

另外，有些檔案夾不能通路，要更改權限：将屬性－安全－所有者 改為目前使用者，并獲得全部權限。

B. 清理系統資料庫資訊

HKCU-software-microsoft-windowsNT-currentversion-windows: load項删除（它指向了msexfa.exe)。

其他系統資料庫資訊删除可以按百度百科上的進行設定，系統資料庫的位置也不确定，以下是可疑位置：

HKCU-software-microsoft-windows-currentversion-Polices-explorer;

HKCU-software-microsoft-windows-currentversion-Run;

HKCU-software-microsoft-windowsNT-currentversion-windows;

HKLM-software-microsoft-windows-currentversion-Polices-explorer;

HKLM-software-microsoft-windows-currentversion-Run;

HKLM-software-microsoft-windowsNT-currentversion-windows;

C. U盤清理

顯示U盤隐藏檔案後，删除相應病毒檔案即可。

D. 完成以上步驟後要重新開機電腦，不要着急把U盤重新插入，以防記憶體中留下的病毒檔案重新傳播。

三、分析

病毒原理沒有找到，也許是利用了windows自動安裝或者更新。另外，程式會自動設定檔案隐藏。

以上為windows7平台經驗。