最近有朋友拿來(lái)電給我，說(shuō)不能上網(wǎng)，我請(qǐng)他先掃毒，結(jié)果掃出一些病毒，大部分病毒都順利解決，但唯獨(dú)剩下一個(gè)名為info stealer.gampass（hsvwer9.dll）沒(méi)辦法清除。

一開(kāi)始想從安全模式直接殺掉就算好了，結(jié)果沒(méi)想到在安全模式中也沒(méi)法解除，在registery中也沒(méi)有直接用此dll的記錄，這下麻煩了，觀察一下不能上網(wǎng)的特性，可以對(duì)外Ping，但尾碼多了一個(gè) ? ，資料上說(shuō)明此病毒會(huì)在TCP/IP中加入病毒來(lái)竊取使用者的帳號(hào)密碼,發(fā)病時(shí)會(huì)讓使用者無(wú)法上網(wǎng)。

這下有趣了，這隻病毒目前已經(jīng)許多網(wǎng)站已被入侵並在網(wǎng)頁(yè)中植入大約像這樣的一段程式碼：

[Added process]
C:\WINDOWS\avp.exe

[Added service]
NAME: VGADown
DISPLAY: Audio Adapter
FILE: C:\WINDOWS\avp.exe

[Added LSP]
ID: 1012
NAME: MSAFD Tcpip [RAW/IP] (連結(jié)至 C:\WINDOWS\system32\hsvwer9.dll)

ID: 1013
NAME: MSAFD Tcpip [TCP/IP] (連結(jié)至 C:\WINDOWS\system32\hsvwer9.dll)

所以簡(jiǎn)單的方法根本不能對(duì)其根治，要解此病毒，一定要先下載Winsock DLL移除程式LSPFix及Winsock修復(fù)工具WinsockxpFix 兩個(gè)工具，如果沒(méi)有可按此下載(工具包-20070806tools.zip)。

1. 下載後先把工具解壓縮，放在隨身碟中待命
2. 在Windows開(kāi)機(jī)時(shí)的瞬間按F8進(jìn)入安全模式
3. IP如果不是自動(dòng)取得，怕自己忘記設(shè)定時(shí)請(qǐng)先把設(shè)定記錄下來(lái)
4. 執(zhí)行LPIFix.exe，把選項(xiàng)“I Know What I'm Doing”，然後選擇左方視窗中的hsvwer9.dll，按箭頭令其移到右方視窗（不要?jiǎng)悠渌募?dòng)了出問(wèn)題別找我），然後選“Finish”。
   
5. 隨後會(huì)出現(xiàn)確認(rèn)的訊息視窗：
   
6. 再一次重開(kāi)機(jī)，再次利用F8進(jìn)入安全模式
7. 打開(kāi)檔案總管，工具→資料夾選項(xiàng)
   
8. 在檢視那一頁(yè)中，隱藏檔案和資料夾的選項(xiàng)選擇：“顯示所有檔案與資料夾”
   
9. 然後進(jìn)入Windows目錄中的Sytem32目錄，刪除hsvwer9.dll，小心別誤刪其他正常的檔案
   
10. 重新開(kāi)機(jī)後，會(huì)發(fā)現(xiàn)病毒已經(jīng)清除，但還是不能上網(wǎng)，因?yàn)橐婚_(kāi)始的Winsock移除程式把相關(guān)的登錄移除，現(xiàn)在要利用另一程式WinsockxpFix.exe進(jìn)行修復(fù)，修復(fù)完成後再一次重開(kāi)機(jī)，把相關(guān)設(shè)定設(shè)好就可正常上網(wǎng)了。

在我參考的文章中還有提到avp.exe，但這我後來(lái)查了一下，似乎是另一個(gè)病毒，但威脅性較低，似乎也已經(jīng)給Norton自動(dòng)殺了，所以找不到他的存在，不過(guò)很多情況因人而異，大家小心點(diǎn)應(yīng)對(duì)就好。

請(qǐng)大家務(wù)必要做好Windows Update，病毒碼更新的動(dòng)作，也不要以為他會(huì)自動(dòng)幫你更新，有時(shí)防毒軟體更新頻率沒(méi)有那麼高，就這麼中標(biāo)了。

參考連結(jié)中有列出一些被植入此病毒的網(wǎng)站，瀏覽時(shí)要小心。

本文參考自：http://www.windar.com.tw/talk/viewtopic.php?p=1440&sid=5d082579873d6a189a92e59911554042