间谍软件Virtumonde清除方法

哇！昨天在不幸点击一个exe的执行文件后，只发现没有反应就删除文件。但今早就观察电脑有点怪怪了，cmd一直在闪烁着、无故有个广告窗口出现在浏览器、或者不能进行Google搜索。原来是中了一个顽强的电脑间谍软件（spyware） - Virtumonde！

所谓的间谍软件就是会时不时在用户心不甘情不愿的情况下跳出各式各样广告。我的疑惑就是为什么平时杀毒软件和扫除间谍软件分得那么清楚呢？往往杀毒软件都不能扫描出间谍软件。结果我的BitDefender就没成功第一时间将间谍软件揪出来。

第一度杀毒 - SpyBot

在安装Spybot - Search & Destroy后，扫描出2、3个躲藏在视窗注册表（registry）中startup记录的Virtumonde.dll间谍软件。删除的都是藏在C:\windows\system32目录下的DLL文件。虽然说DLL（Dynamic-link Library）是不能像exe那样直接执行，但在利用rundll这个视窗内置软件，就能使dll也变成执行能力软件了。驻存在注册表中执行代码在视窗启动时，它也会随着启动。

二度杀毒 - VirtumodoBeGone

在扫除后，不久我又发现问题依旧存在。看来Spybot并没有将Virtumonde.dll连根拔起。因为在注册表中winlogon的记录也被感染了。最后找到这个VirtumundoBegone专杀Virtumonde病毒，最好是在视窗安全模式下执行。但在普通模式下也能顺利执行，只是被迫会重启。

Checking for HKLM\…\Winlogon\Notify\qoMgggHy
Found: HKLM\…\Winlogon\Notify\qoMgggHy - This is probably Virtumundo.

终于杀毒成功，我的Google又能搜索了。下次还是谨慎些，少开启不认识的文件。不然就使用像sandbox之类的软件来将它隔离出来。