冠群金辰查杀“落魄者”(Goner)病毒解决方案
　 2001-12-05 15:49:56

　　
　　冠群金辰公司的全球病毒监测网发现了一种名为“Win32/Goner.A.Worm”(又名： W32.Goner.A@mm)的病毒，该病毒是一种广泛传播的邮件病毒，并且会删除用户电脑中的反病毒软件。

　　W32.Goner.A的特征如下：
　　
　　Goner.A是一种化装成屏保程序通过Microsoft Outlook传播的多邮寄型蠕虫。它也可以通过ICQ 和 mIRC来传播.

　　蠕虫邮件的主题为"Hi", 附件名为"gone.scr". 邮件的主体内容如下:

　　How are you ?

　　When I saw this screen saver, I immediately thought about you

　　I am in a harry, I promise you will love it!

　　一旦蠕虫被激活，蠕虫将显示一个有关它来源的消息框和一条错误消息"Error While Analyze DirectX!"。它会在内存中搜索如下进程:

　　APLICA32.EXE

　　ZONEALARM.EXE

　　ESAFE.EXE

　　CFIADMIN.EXE

　　CFIAUDIT.EXE

　　CFINET32.EXE

　　PCFWallIcon.EXE

　　FRW.EXE

　　VSHWIN32.EXE

　　VSECOMR.EXE

　　WEBSCANX.EXE

　　AVCONSOL.EXE

　　VSSTAT.EXE

　　PW32.EXE

　　VW32.EXE

　　VP32.EXE

　　VPCC.EXE

　　VPM.EXE

　　AVP32.EXE

　　AVPCC.EXE

　　AVPM.EXE

　　AVP.EXE

　　TDS2-98.EXE

　　TDS2-NT.EXE

　　FEWEB.EXE

　　一旦这些进程被找到，它们将被终止。蠕虫随后将搜索并删除进程所在目录的所有文件。如果有些文件无法被删除，蠕虫将在WININIT.INI 中增加一项命令，以使windows重启时，文件能够被删除.

　　蠕虫会在系统目录生成文件"gone.scr"，并修改注册表，以使机器重启时能被自动执行。修改的注册表键值如下:

　　HKLM＼SOFTWARE＼MICROSOFT＼WINDOWS＼CURRENTVERSION＼RUN, 键值名为"＼gone.scr" 数据值为 "＼gone.scr"

　　请升级Kill 到30.49以上版本清除该病毒.。

　　手工清除方法

　　1.用干净的软盘重启系统.

　　2. 在Windows系统目录下删除文件"gone.scr"

　　3.重启系统 Reboot the system.

　　4. 删除如下注册表键值:

　　"HKLM＼SOFTWARE＼MICROSOFT＼WINDOWS＼CURRENTVERSION＼RUN, 键值名为"＼gone.scr" 数据值为 "＼gone.scr"。

　　最后，请重装被蠕虫删除的一些反病毒软件。