我象往常一樣開機(jī)后����,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個線程,今天卻顯示12個����,想想這幾天沒有裝任何軟件,于是運(yùn)行msconfig.exe,發(fā)現(xiàn)多出一個kernel32.exe��,形似windows\system下的kernel32.dll,當(dāng)時沒有多想��。/ F- ^7 w; R" F
3 o. r' a$ z6 Z3 j3 c 中午買到23日出版的《電腦商情報》便埋頭看了起來�����,看到“蔫老虎信箱”時�����,有一小篇讀者來信是關(guān)于冰河病毒的�����,“從未染過”BO的我猛然一震�����,kernel32.exe是冰河病毒的程序����,連忙開機(jī)查找,發(fā)現(xiàn)在windows\system下有一同名文件��,由于程序正被運(yùn)行���,無法刪除����,先刪除注冊表中所有與"kernel32.exe"有關(guān)的項����,然后重啟到MS-DOS下,用DELTREE命令刪除���,以為萬事大吉�����,然而進(jìn)入window界面后��,發(fā)現(xiàn)其又在運(yùn)行��,病毒程序還在windows\system下�����。& ^* r" q2 R4 b& i
0 W, x, F' Z* H$ w4 J( | 到黑客網(wǎng)站上下載一“冰河V2.2版”�,解壓后有四個文件(G_Client.exe、G_Server.exe����、operate.ini、readme.txt),進(jìn)行解析���,發(fā)現(xiàn)運(yùn)行被監(jiān)控端后臺監(jiān)控程序g_server.exe后即感染病毒��,監(jiān)控端通過監(jiān)控端執(zhí)行程序g_client.exe 進(jìn)行監(jiān)視。kernel32.exe是與文件類型(如txtfile,exefile)相關(guān)聯(lián),以便被刪除后在打開相關(guān)文件時自動恢復(fù)�。查找與病毒感染時間相近的文件,發(fā)現(xiàn)在windows\system下有kernel32.exe ���、sysexplr.exe�、sendme.dll���、sendme.dl_�����、sendme.cfg等文件�,感染日期、時間基本相同�,其中sysexplr.exe可打開TXT文件,正是與病毒關(guān)聯(lián)的程序���,將上述文件除kernel32.exe外全部刪除 ���,刪除注冊表中所有與“kernel32.exe”、“sysexplr.exe”有關(guān)的項,并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒��,至此病毒完全消除����。 2 ^& I& G; \; {" Y _/ @, i
9 R+ Z) q7 i. K+ k' P: Y0 a
若要打開TXT文檔�,在打開方式中重新選擇“NOTEPAD.EXE”,選擇始終以該程序打開即可��。仔細(xì)想想����,昨天上網(wǎng)運(yùn)行OICQ后,曾在網(wǎng)上與陌生人聊天,打開其留言�����,沒想到無意中感染病毒��。由此奉勸各位網(wǎng)友在網(wǎng)絡(luò)中不要隨意打開陌生人發(fā)來的E_mail或留言���,以免不必要的麻煩�! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡