病毒—Win32/Gamarue

中了一个U盘病毒，费了好大劲才弄清是什么毒，记录在这里，以为有需要的人。

百度百科上有这个病毒的介绍：这里是链接。

下面是我的记录：

一、病毒症状:
U盘传播,中毒的U盘只显示一个快捷方式，该快捷方式以＂Ｕ盘名字＋容量＂的方式命名，如：　kingston(4G).
打开文件夹中隐藏设置：　显示隐藏文件＋显示系统保护的文件，之后可以看到４个文件：
1. autorun.inf
2. ~$W****.FAT　动态链接库文件
3. thumbs.db　说是病毒主体文件
4. desktop.ini
5. 一个隐藏文件夹，里面放了原来Ｕ盘的内容．


快捷方式链接到　system32\rundll32.exe ~$W****.FAT crys...
当打开快捷方式时能打开原来文件，但是当删除~$W****.FAT后，就提示文件丢失，打不开快捷方式，找不到原文件．
目前不能确定有无其他危害，也许只是一个恶作剧代码，只要U盘插入有毒电脑，即会感染病毒。


二、解决方法
A. 病毒在相应临时文件夹中存在恶意文件（我的例子），分别为
1. C:\Temp\TrustedInstaller.exe
2. C:\Users\S\Local setting\Temp\msexfa.exe (文件夹在多个temp目录都有可能，文件名随机）

将以上文件全部删除，为了确保全面清除，要将所有$Temp$中的.exe，.dll文件全部删除,另外发现.bat批处理、.scr屏保文件也是病毒。所以，可疑文件全部删除。
另外，有些文件夹不能访问，要更改权限：将属性－安全－所有者 改为当前用户，并获得全部权限。


B. 清理注册表信息
HKCU-software-microsoft-windowsNT-currentversion-windows: load项删除（它指向了msexfa.exe)。
其他注册表信息删除可以按百度百科上的进行设置，注册表的位置也不确定，以下是可疑位置：

HKCU-software-microsoft-windows-currentversion-Polices-explorer;

HKCU-software-microsoft-windows-currentversion-Run;

HKCU-software-microsoft-windowsNT-currentversion-windows;

HKLM-software-microsoft-windows-currentversion-Polices-explorer;

HKLM-software-microsoft-windows-currentversion-Run;

HKLM-software-microsoft-windowsNT-currentversion-windows;

C. U盘清理

显示U盘隐藏文件后，删除相应病毒文件即可。

D. 完成以上步骤后要重启电脑，不要着急把U盘重新插入，以防内存中留下的病毒文件重新传播。

三、分析
病毒原理没有找到，也许是利用了windows自动安装或者更新。另外，程序会自动设置文件隐藏。

以上为windows7平台经验。