Infostealer.lemir infostealer.gampass 清楚

Infostealer.lemir
infostealer.gampass
Trojan Horse
Hacktool.Rootkit
Downloader
2008-09-10刚开机，就发现赛门铁克提示有如上病毒，想想昨天没中毒啊，后来想起来了是因为俺家小妞昨天搜图片，中了毒。晕了。搞了一

上午(9:00-12:20)才搞定.
中毒症状是：
1.无法上网
2.360安全卫士不能启动。
3.网速很慢啊。超慢的。
4.任务管理器无法启动

后来去网络搜了下有两种方法，大体都一样。对付病毒都可以的。
方法一是你的任务管理器还可以启动。
工具：

1.SREng                      下载地址    http://www.kztechs.com/sreng/sreng2.zip

释放sreng2.zip 到一个目录，然后执行其中的 SREng.exe 。

 

2.费尔木马强力清除助手   下载地址    http://dl.filseclab.com/down/powerrmv.zip
释放 PowerRmv.zip 到一个目录，然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。

清除之前做的准备：
1.更新杀毒软件的病毒库，建议使用的杀毒软件，有一个就可以。

2.断开网络连接。

3.运行杀毒软件，找到病毒，记录染毒文件的路径，但不执行任何操作。
例如 C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe

4 打开任务管理器，点击进程标签，在菜单栏点击－查看－选择列－把ＰＩＤ（进程标识）打上勾，然后查看进程2.exe，记录其ＰＩＤ号码。

例如2.exe的pid号码为2112

5.运行 SREng，执行智能扫描，导出扫描报告保存为temp1.txt.

 

 

开始逐个彻底清除染毒文件：

(最好重起电脑,在安全模式下操作)
6.查看扫描报告
----ctrl + f 查找定位信息 pid:2112

----在pid:2112那一栏,会发现一系列文件,如上例,可以看到:
[PID: 2112][C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe]  <N/A><N/A>
    [C:\WINDOWS\System32\wldll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\Cnscheck001.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\xydll.dll]  <N/A><N/A>
    [C:\Program Files\Internet Explorer\PLUGINS\system18.sys]  <N/A><N/A>
记录有关这一进程信息中的所有文件路径
C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe
C:\WINDOWS\System32\wldll.dll
C:\WINDOWS\System32\Cnscheck001.dll
C:\WINDOWS\System32\xydll.dll
C:\Program Files\Internet Explorer\PLUGINS\system18.sys

7 打开软件-- 费尔木马强力清除助手,里面有一项"抑制文件再次生成"打上钩,然后定位到以上记录的5个有毒文件,分别删除,如果跳出发送病

毒报告的邮件提示 选择 否,然后确认删除文件.

8 重新回到扫描报告
---ctrl + f 搜索 刚才删除的几个文件文件名
找到注册表中对应的位置
例如:Cnscheck001.dll对应的为:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\system18.sys>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\System32\Cnscheck001.dll>  []
打开注册表,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除键值
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}

注意,注册表被修改地方的可能不止一个,所以每个染毒文件都请查找一次,删除对应的注册表键值,以防遗漏,找不到的就没有了.

 

9 重起电脑, 确认病毒是否被完全删除.

10 备份注册表(以后再有毒,按照以上方法操作,注册表键值删除可以通过恢复注册表而简化)

 

 

方法二是你的任务管理器无法启动。

至于方法二吗？就直接把病毒文件的路径输入到（费尔木马强力清除助手）之后就强制删除。

最后在扫描是否有残留的病毒。重启。

解释名词PID:

PID一列代表了各进程的进程ID,也就是说,PID就是各进程的身份标识。
任务管理器----进程----查看----选择列----PID
这时你就能看到进程中的PID值