我象往常一樣開(kāi)機(jī)后���,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個(gè)線程,今天卻顯示12個(gè)�����,想想這幾天沒(méi)有裝任何軟件����,于是運(yùn)行msconfig.exe,發(fā)現(xiàn)多出一個(gè)kernel32.exe�����,形似windows\system下的kernel32.dll,當(dāng)時(shí)沒(méi)有多想��。
: X' A3 Z7 b8 p" I0 h0 t. a
& m. l$ P# g' j( g( c3 t 中午買(mǎi)到23日出版的《電腦商情報(bào)》便埋頭看了起來(lái)���,看到“蔫老虎信箱”時(shí),有一小篇讀者來(lái)信是關(guān)于冰河病毒的��,“從未染過(guò)”BO的我猛然一震�,kernel32.exe是冰河病毒的程序,連忙開(kāi)機(jī)查找�,發(fā)現(xiàn)在windows\system下有一同名文件,由于程序正被運(yùn)行����,無(wú)法刪除,先刪除注冊(cè)表中所有與"kernel32.exe"有關(guān)的項(xiàng)�����,然后重啟到MS-DOS下�,用DELTREE命令刪除,以為萬(wàn)事大吉���,然而進(jìn)入window界面后���,發(fā)現(xiàn)其又在運(yùn)行,病毒程序還在windows\system下����。% ` C7 l% C9 H+ q; U; `
2 g3 b% @$ I/ @. c. C3 @ 到黑客網(wǎng)站上下載一“冰河V2.2版”,解壓后有四個(gè)文件(G_Client.exe����、G_Server.exe、operate.ini�����、readme.txt),進(jìn)行解析����,發(fā)現(xiàn)運(yùn)行被監(jiān)控端后臺(tái)監(jiān)控程序g_server.exe后即感染病毒,監(jiān)控端通過(guò)監(jiān)控端執(zhí)行程序g_client.exe 進(jìn)行監(jiān)視��。kernel32.exe是與文件類(lèi)型(如txtfile,exefile)相關(guān)聯(lián),以便被刪除后在打開(kāi)相關(guān)文件時(shí)自動(dòng)恢復(fù)。查找與病毒感染時(shí)間相近的文件��,發(fā)現(xiàn)在windows\system下有kernel32.exe ��、sysexplr.exe�、sendme.dll、sendme.dl_�、sendme.cfg等文件,感染日期��、時(shí)間基本相同����,其中sysexplr.exe可打開(kāi)TXT文件,正是與病毒關(guān)聯(lián)的程序��,將上述文件除kernel32.exe外全部刪除 �,刪除注冊(cè)表中所有與“kernel32.exe”、“sysexplr.exe”有關(guān)的項(xiàng),并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒�,至此病毒完全消除?! ?font class="jammer">! c- e3 h8 U& r! c
) ?' A" N+ A# p. ?& t8 C 若要打開(kāi)TXT文檔,在打開(kāi)方式中重新選擇“NOTEPAD.EXE”�����,選擇始終以該程序打開(kāi)即可。仔細(xì)想想�,昨天上網(wǎng)運(yùn)行OICQ后�,曾在網(wǎng)上與陌生人聊天,打開(kāi)其留言����,沒(méi)想到無(wú)意中感染病毒。由此奉勸各位網(wǎng)友在網(wǎng)絡(luò)中不要隨意打開(kāi)陌生人發(fā)來(lái)的E_mail或留言��,以免不必要的麻煩�����! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡