Worm:Win32/Goner.A@mm 是一种在 2000 年代早期臭名昭著的经典大规模邮件群发蠕虫病毒(Mass-Mailing Worm)。该病毒在爆发时伪装成 DirectX 的动画安装程序,因其传播速度极快并能主动终止主流杀毒软件和防火墙进程而轰动一时。
以下是为您整理的针对该恶意软件的 检测与清除实战指南(Detection & Clean Guide): 🔍 第一部分:恶意软件行为深度剖析 了解它的运作机制是彻底清除它的前提:
伪装传播:主要通过邮件或早期的即时通讯工具(如 ICQ)传播,附件通常命名为 gone.scr。
欺骗弹窗:用户点击后,它会弹出一个假冒的错误提示:“Error While Analyze DirectX!”,让用户误以为是程序损坏,而此时病毒已在后台完成感染。
自身复制:病毒会将自己复制到 Windows 的系统目录下,通常为
持久化潜伏:它会修改 Windows 注册表以实现开机自启,具体位置为:HKLM\Software\Microsoft\Windows\CurrentVersion\Run,添加键值指向 gone.scr。
破坏防御:这是该病毒最恶劣的特性。它会主动扫描内存,寻找并 强制终止常见杀毒软件、防火墙及安全工具的进程(如 AVP、ZoneAlarm 等),甚至直接删除杀毒软件的源文件,导致安全防护全面瘫痪。 🛠️ 第二部分:实战清除指南(分步操作)
由于该蠕虫会终止安全软件,直接在正常系统下运行杀毒软件往往会失效。必须严格按照以下步骤进行手动或半手动清理: 步骤 1:切断网络连接
立即断开电脑的 Wi-Fi 或拔掉网线,防止病毒继续向外群发邮件传播,或进行分布式拒绝服务(DDoS)攻击。 步骤 2:进入“安全模式”(Safe Mode)
在安全模式下,Windows 只加载最基础的驱动,病毒的自启项会被拦截,无法干扰清理工作。
重启电脑,在开机时连续按下 F8 键(旧版系统)或通过 Windows 设置中的“高级启动”进入系统。
选择 “带网络连接的安全模式”(若需下载工具)或纯 “安全模式”。 步骤 3:清理注册表自启项
按下 Win + R 键,输入 regedit 回车打开注册表编辑器。
依次展开定位到:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 在右侧窗格中查找指向 gone.scr 的异常键值。 右键点击该键值,选择 删除。 步骤 4:删除病毒实体文件
开启显示隐藏文件:打开任意文件夹,点击顶部的“查看” -> 勾选 “隐藏的项目”。
进入系统目录(通常为 C:\Windows\System32 或 C:\Windows)。
搜索并彻底删除 gone.scr 文件(选中后按 Shift + Delete)。 步骤 5:使用专业工具深度扫描与修复
病毒清除后,可能残留损坏的系统文件或被其关停的防病毒组件:
下载并运行微软官方的 Windows 恶意软件删除工具 (MSRT) 进行全面扫描。
使用免费的 Malwarebytes 杀毒软件 进行二次复检,确保没有变种残留。
以管理员身份打开命令提示符(CMD),输入 sfc /scannow 修复被病毒破坏的系统核心文件。 🛡️ 第三部分:防御与反思
警惕陌生附件:绝不运行任何来自不信任邮件的 .scr、.exe、.vbs 格式的附件。
保持防御更新:现代防病毒软件(如 Microsoft Defender、Bitdefender)的病毒库早已全面覆盖此病毒。保持系统和杀毒软件的日常更新即可轻松防范此类已知威胁。
您目前是电脑已经感染了此病毒需要紧急处理,还是在进行安全审计或恶意软件分析的相关研究? Windows 恶意软件删除工具(64-bit) – Microsoft
Leave a Reply