天天爱天天做天天做天天吃中文|久久综合给久合久久综合|亚洲视频一区二区三区|亚洲国产综合精品2022

  • 
    
    <delect id="ixd07"></delect>

      汶上信息港

      標題: 冰河木馬清除法一則 [打印本頁]

      作者: 雜七雜八    時間: 2011-1-12 20:59
      標題: 冰河木馬清除法一則
      我象往常一樣開機后,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個線程,今天卻顯示12個,想想這幾天沒有裝任何軟件,于是運行msconfig.exe,發(fā)現(xiàn)多出一個kernel32.exe,形似windows\system下的kernel32.dll,當時沒有多想。
      * V2 p; Z. P1 l  w( w  
      : S' G+ [3 n8 l) ~  中午買到23日出版的《電腦商情報》便埋頭看了起來,看到“蔫老虎信箱”時,有一小篇讀者來信是關于冰河病毒的,“從未染過”BO的我猛然一震,kernel32.exe是冰河病毒的程序,連忙開機查找,發(fā)現(xiàn)在windows\system下有一同名文件,由于程序正被運行,無法刪除,先刪除注冊表中所有與"kernel32.exe"有關的項,然后重啟到MS-DOS下,用DELTREE命令刪除,以為萬事大吉,然而進入window界面后,發(fā)現(xiàn)其又在運行,病毒程序還在windows\system下。
      ) f$ B+ ?; S* P0 I, O3 y7 H    K$ F* P% f0 {  e7 c0 l
        到黑客網(wǎng)站上下載一“冰河V2.2版”,解壓后有四個文件(G_Client.exe、G_Server.exe、operate.ini、readme.txt),進行解析,發(fā)現(xiàn)運行被監(jiān)控端后臺監(jiān)控程序g_server.exe后即感染病毒,監(jiān)控端通過監(jiān)控端執(zhí)行程序g_client.exe 進行監(jiān)視。kernel32.exe是與文件類型(如txtfile,exefile)相關聯(lián),以便被刪除后在打開相關文件時自動恢復。查找與病毒感染時間相近的文件,發(fā)現(xiàn)在windows\system下有kernel32.exe 、sysexplr.exe、sendme.dll、sendme.dl_、sendme.cfg等文件,感染日期、時間基本相同,其中sysexplr.exe可打開TXT文件,正是與病毒關聯(lián)的程序,將上述文件除kernel32.exe外全部刪除 ,刪除注冊表中所有與“kernel32.exe”、“sysexplr.exe”有關的項,并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒,至此病毒完全消除?! ?br /> . B8 q  G& @4 S# N  1 {$ H3 ~: R! ]; V5 \. A4 a7 L5 C3 a
           若要打開TXT文檔,在打開方式中重新選擇“NOTEPAD.EXE”,選擇始終以該程序打開即可。仔細想想,昨天上網(wǎng)運行OICQ后,曾在網(wǎng)上與陌生人聊天,打開其留言,沒想到無意中感染病毒。由此奉勸各位網(wǎng)友在網(wǎng)絡中不要隨意打開陌生人發(fā)來的E_mail或留言,以免不必要的麻煩!




      歡迎光臨 汶上信息港 (http://www.vancelump.com/) Powered by Discuz! X3.5