摆脱GaoBot.AZ

被木马折磨了四五天，都是感觉后台有个什么程序在运行，总是占用前台程序的焦点，但就是找不到异常的进程。终于在昨天启动机器后立即打开任务管理器，发现“IEXPLORER.exe”一闪而过，动手检查，发现在C:/Windows/system32下有个同名文件，肯定是病毒了。因为IE本身是不在C:/Windows/system32下的，而且文件名也不同。再检查文件日期，也是9月2日的。尝试删除，立即就重建了该文件，进一步肯定了猜测。
万里长征才第一步，上网一查，类似一个叫“高波”的木马，2003年的东东了，想必norton应该可以吧。先用Symantec企业版扫描了system32，居然一无所获，然后换成Kapersky，也没效果，没办法，又卸掉其他，装上了Norton Antivirus2005，还是没效果。郁闷中，重启到安全模式，还下载了Symantec上的专杀工具，扫描一遍居然还是没有任何动作，报没有发现病毒，晕……
今天仔细上网搜索，发现“高波”真是厉害，居然有N个变种，主要就是后面的编号。到国内外普遍google了一把，只发现AZ的和咱机器比较接近，都是生成那个文件，不同在于AZ的后台就是IEXPLORER.exe，而我的那个平时不显示出来。Symantec网站上有详细说明，不过查杀方法是升级病毒库，然后全扫描，并安装微软的补丁。可是我不仅一直是最新的病毒库，而且安装了所有的补丁。不管它，死马当活马医。到CNOUG上一问，还把“自由鹰王”这个老鸟给拽出来了，^_^ 进一步坚定了我的信念。
回来进入安全模式，运行regedit，然后进入HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run，删除“IEXPLORER.exe”那项，这样启动时就不会加载了，然后顺手又搜索出一个项目，删除。进C:/Windows/system32，按照时间排序，还有一个dll文件也是9月2日的，同一个时间，看来就是病毒源了，干掉。
重启后进入正常模式，世界终于清静了……
看来装全补丁、升级完病毒库也不代表万事大吉，还是得当心啊。杀毒软件也不可全信呐，sigh……

补充一下病毒说明^_^：http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.az.html