我象往常一樣開機后�����,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個線程�����,今天卻顯示12個��,想想這幾天沒有裝任何軟件��,于是運行msconfig.exe,發(fā)現(xiàn)多出一個kernel32.exe�,形似windows\system下的kernel32.dll,當(dāng)時沒有多想。 V. u7 [$ _4 z" _4 n% _4 T
5 S9 \' Q( e; v# m. @8 `& K0 E 中午買到23日出版的《電腦商情報》便埋頭看了起來,看到“蔫老虎信箱”時��,有一小篇讀者來信是關(guān)于冰河病毒的�����,“從未染過”BO的我猛然一震��,kernel32.exe是冰河病毒的程序����,連忙開機查找�����,發(fā)現(xiàn)在windows\system下有一同名文件�����,由于程序正被運行�,無法刪除,先刪除注冊表中所有與"kernel32.exe"有關(guān)的項���,然后重啟到MS-DOS下��,用DELTREE命令刪除��,以為萬事大吉����,然而進入window界面后,發(fā)現(xiàn)其又在運行��,病毒程序還在windows\system下���。$ L' E% Z4 O: `, m
: i) f% w. \5 c5 S" ^ 到黑客網(wǎng)站上下載一“冰河V2.2版”��,解壓后有四個文件(G_Client.exe��、G_Server.exe���、operate.ini、readme.txt),進行解析�����,發(fā)現(xiàn)運行被監(jiān)控端后臺監(jiān)控程序g_server.exe后即感染病毒�����,監(jiān)控端通過監(jiān)控端執(zhí)行程序g_client.exe 進行監(jiān)視。kernel32.exe是與文件類型(如txtfile,exefile)相關(guān)聯(lián),以便被刪除后在打開相關(guān)文件時自動恢復(fù)���。查找與病毒感染時間相近的文件�����,發(fā)現(xiàn)在windows\system下有kernel32.exe ����、sysexplr.exe�、sendme.dll�����、sendme.dl_�����、sendme.cfg等文件�����,感染日期��、時間基本相同,其中sysexplr.exe可打開TXT文件�����,正是與病毒關(guān)聯(lián)的程序��,將上述文件除kernel32.exe外全部刪除 ��,刪除注冊表中所有與“kernel32.exe”�����、“sysexplr.exe”有關(guān)的項,并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒���,至此病毒完全消除����?����! ?br />
# d( M5 o9 W- u5 s) `
3 p. b, q) T$ F/ [0 [2 ]- p" z/ p, c 若要打開TXT文檔�����,在打開方式中重新選擇“NOTEPAD.EXE”,選擇始終以該程序打開即可���。仔細想想����,昨天上網(wǎng)運行OICQ后��,曾在網(wǎng)上與陌生人聊天��,打開其留言�����,沒想到無意中感染病毒�。由此奉勸各位網(wǎng)友在網(wǎng)絡(luò)中不要隨意打開陌生人發(fā)來的E_mail或留言����,以免不必要的麻煩! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡