Worm.Win32.DownLoad.gew病毒清除记

“下载者蠕虫变种GEW（（Worm.Win32.DownLoad.gew）”病毒：警惕程度★★★，蠕虫病毒，通过U盘传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个蠕虫病毒。病毒运行后，会将自身复制到系统目录下，并在本地所有驱动盘和可移动存储设备中创建autorun.inf文件和病毒本身，伺机传播。并且，它还会从黑客指定网站下载新的木马病毒到用户计算机上并运行。病毒还会通过修改注册表相关值，来隐藏病毒本身，以及试图使多种主流杀毒软件和安全工具失效，给用户计算机安全带来威胁。

——引自http://secure.itdigger.com/2008/02/28/411864951765.htm

因机器已中毒情况下，试图安装360安全卫士、优化大师、瑞星等安全或杀毒软件不能成功（安装一半就突然被中止了）。且“文件夹选项——显示所有文件和文件夹”勾选后不能修改成功，无法显示出隐藏文件，安全模式下也不能显示。

不想重做系统，于是采用了这样的步骤：中毒机器断网，U盘准备好如下软件

System Repair Engineer 2.5（一种计算机安全辅助和系统维护辅助软件）  http://download.kztechs.com/files/sreng2.zip

冰刃（IceSword）1.22

http://download.ccw.com.cn/cio/IceSword122cn.zip

均为绿色版解压即可使用，在中毒机器上，运行System Repair Engineer的SREngPS.EXE，自动检测发现系统隐藏进程（红色有说明），然后用冰刃的IceSword.exe的功能——进程，找到并结束发现的病毒隐藏的进程（这是任务管理器和一般进程监管软件如Process Explorer发现不了的），再使用SREngPS.EXE点“系统修复，可看见自动检测的提示如“userinit”被修改等，根据提示，比如红色项，进行逐一修复。此时发现“文件夹选项——显示所有文件和文件夹”已可以选中，显示出各盘符和及系统目录下有大量疑似病毒的隐藏文件了。这时安装最新的安全软件（如360安全卫士）可以成功，赶紧开启保护并使用木马查杀，能清除部分木马病毒。然后安装杀毒软件，重启，联网升级病毒库，进行全盘查杀，终于使电脑恢复正常。

小偏门：对于某些病毒监查杀毒或安全软件进程名称进行“灭杀”，可以将杀毒或安全软件的主程序重命名比如360Safe.exe改为1234.exe，瞒过病毒，尝试能否启动，当然杀完后记得改回。

通过这次操作和记录，发现自己在计算机安全方面还很欠缺，以后注意要多多积累。