我象往常一樣開機后,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個線程���,今天卻顯示12個��,想想這幾天沒有裝任何軟件��,于是運行msconfig.exe,發(fā)現(xiàn)多出一個kernel32.exe���,形似windows\system下的kernel32.dll,當時沒有多想。
3 n- [. i( @; w: X2 q . w' N- h' G4 ~6 A& e9 |( F
中午買到23日出版的《電腦商情報》便埋頭看了起來�,看到“蔫老虎信箱”時,有一小篇讀者來信是關于冰河病毒的�,“從未染過”BO的我猛然一震,kernel32.exe是冰河病毒的程序,連忙開機查找��,發(fā)現(xiàn)在windows\system下有一同名文件����,由于程序正被運行,無法刪除�,先刪除注冊表中所有與"kernel32.exe"有關的項,然后重啟到MS-DOS下����,用DELTREE命令刪除,以為萬事大吉���,然而進入window界面后�����,發(fā)現(xiàn)其又在運行,病毒程序還在windows\system下���。" `" N8 ]; E* }1 v4 \' l) Z
4 A1 \% K2 T; x8 K* S2 p! F9 d7 r
到黑客網(wǎng)站上下載一“冰河V2.2版”����,解壓后有四個文件(G_Client.exe、G_Server.exe�、operate.ini、readme.txt),進行解析�����,發(fā)現(xiàn)運行被監(jiān)控端后臺監(jiān)控程序g_server.exe后即感染病毒�����,監(jiān)控端通過監(jiān)控端執(zhí)行程序g_client.exe 進行監(jiān)視����。kernel32.exe是與文件類型(如txtfile,exefile)相關聯(lián),以便被刪除后在打開相關文件時自動恢復。查找與病毒感染時間相近的文件���,發(fā)現(xiàn)在windows\system下有kernel32.exe �、sysexplr.exe���、sendme.dll���、sendme.dl_、sendme.cfg等文件��,感染日期、時間基本相同����,其中sysexplr.exe可打開TXT文件,正是與病毒關聯(lián)的程序���,將上述文件除kernel32.exe外全部刪除 ��,刪除注冊表中所有與“kernel32.exe”�、“sysexplr.exe”有關的項,并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒��,至此病毒完全消除�����?���! ?font class="jammer">8 T$ g8 A9 c1 |( ]( V9 z
% o. u9 @' B) F$ f% I4 r 若要打開TXT文檔,在打開方式中重新選擇“NOTEPAD.EXE”�,選擇始終以該程序打開即可����。仔細想想,昨天上網(wǎng)運行OICQ后,曾在網(wǎng)上與陌生人聊天�����,打開其留言�,沒想到無意中感染病毒。由此奉勸各位網(wǎng)友在網(wǎng)絡中不要隨意打開陌生人發(fā)來的E_mail或留言��,以免不必要的麻煩���! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡