我象往常一樣開(kāi)機(jī)后,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個(gè)線程�����,今天卻顯示12個(gè)�,想想這幾天沒(méi)有裝任何軟件,于是運(yùn)行msconfig.exe,發(fā)現(xiàn)多出一個(gè)kernel32.exe�,形似windows\system下的kernel32.dll,當(dāng)時(shí)沒(méi)有多想。2 X3 j! M: k7 F; S
; I5 n4 {; u# V% ^' W
中午買(mǎi)到23日出版的《電腦商情報(bào)》便埋頭看了起來(lái)���,看到“蔫老虎信箱”時(shí)���,有一小篇讀者來(lái)信是關(guān)于冰河病毒的,“從未染過(guò)”BO的我猛然一震��,kernel32.exe是冰河病毒的程序����,連忙開(kāi)機(jī)查找,發(fā)現(xiàn)在windows\system下有一同名文件���,由于程序正被運(yùn)行����,無(wú)法刪除,先刪除注冊(cè)表中所有與"kernel32.exe"有關(guān)的項(xiàng)����,然后重啟到MS-DOS下,用DELTREE命令刪除�,以為萬(wàn)事大吉,然而進(jìn)入window界面后���,發(fā)現(xiàn)其又在運(yùn)行�����,病毒程序還在windows\system下����。
1 I& _* ?& J b3 N5 x
( k& u3 V) { R/ W 到黑客網(wǎng)站上下載一“冰河V2.2版”���,解壓后有四個(gè)文件(G_Client.exe、G_Server.exe�����、operate.ini���、readme.txt),進(jìn)行解析�����,發(fā)現(xiàn)運(yùn)行被監(jiān)控端后臺(tái)監(jiān)控程序g_server.exe后即感染病毒�����,監(jiān)控端通過(guò)監(jiān)控端執(zhí)行程序g_client.exe 進(jìn)行監(jiān)視�����。kernel32.exe是與文件類(lèi)型(如txtfile,exefile)相關(guān)聯(lián),以便被刪除后在打開(kāi)相關(guān)文件時(shí)自動(dòng)恢復(fù)�。查找與病毒感染時(shí)間相近的文件,發(fā)現(xiàn)在windows\system下有kernel32.exe ����、sysexplr.exe、sendme.dll��、sendme.dl_��、sendme.cfg等文件��,感染日期、時(shí)間基本相同��,其中sysexplr.exe可打開(kāi)TXT文件���,正是與病毒關(guān)聯(lián)的程序���,將上述文件除kernel32.exe外全部刪除 ,刪除注冊(cè)表中所有與“kernel32.exe”���、“sysexplr.exe”有關(guān)的項(xiàng),并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒�,至此病毒完全消除����。 . }) | G _; v$ o0 h* [) ^
3 `9 c, R: a2 |) r$ M8 k, x U
若要打開(kāi)TXT文檔�,在打開(kāi)方式中重新選擇“NOTEPAD.EXE”,選擇始終以該程序打開(kāi)即可��。仔細(xì)想想���,昨天上網(wǎng)運(yùn)行OICQ后,曾在網(wǎng)上與陌生人聊天��,打開(kāi)其留言,沒(méi)想到無(wú)意中感染病毒����。由此奉勸各位網(wǎng)友在網(wǎng)絡(luò)中不要隨意打開(kāi)陌生人發(fā)來(lái)的E_mail或留言,以免不必要的麻煩���! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡