我象往常一樣開機后���,察看防BO病毒軟件TCactive!,發(fā)現(xiàn)前幾天顯示框內(nèi)只顯示11個線程���,今天卻顯示12個,想想這幾天沒有裝任何軟件��,于是運行msconfig.exe,發(fā)現(xiàn)多出一個kernel32.exe�����,形似windows\system下的kernel32.dll,當時沒有多想����。
+ x/ X* @) H/ K . a* ?: n9 o, n! D3 S# N# D, e4 L
中午買到23日出版的《電腦商情報》便埋頭看了起來,看到“蔫老虎信箱”時����,有一小篇讀者來信是關(guān)于冰河病毒的�,“從未染過”BO的我猛然一震�,kernel32.exe是冰河病毒的程序,連忙開機查找���,發(fā)現(xiàn)在windows\system下有一同名文件�����,由于程序正被運行,無法刪除���,先刪除注冊表中所有與"kernel32.exe"有關(guān)的項��,然后重啟到MS-DOS下��,用DELTREE命令刪除����,以為萬事大吉�����,然而進入window界面后,發(fā)現(xiàn)其又在運行����,病毒程序還在windows\system下。* `$ c: S* D' }' ?
( Q |% w$ Z8 Z& V8 G
到黑客網(wǎng)站上下載一“冰河V2.2版”���,解壓后有四個文件(G_Client.exe���、G_Server.exe、operate.ini���、readme.txt),進行解析���,發(fā)現(xiàn)運行被監(jiān)控端后臺監(jiān)控程序g_server.exe后即感染病毒,監(jiān)控端通過監(jiān)控端執(zhí)行程序g_client.exe 進行監(jiān)視�����。kernel32.exe是與文件類型(如txtfile,exefile)相關(guān)聯(lián),以便被刪除后在打開相關(guān)文件時自動恢復���。查找與病毒感染時間相近的文件�����,發(fā)現(xiàn)在windows\system下有kernel32.exe �、sysexplr.exe、sendme.dll����、sendme.dl_、sendme.cfg等文件�,感染日期、時間基本相同�,其中sysexplr.exe可打開TXT文件,正是與病毒關(guān)聯(lián)的程序��,將上述文件除kernel32.exe外全部刪除 ��,刪除注冊表中所有與“kernel32.exe”�����、“sysexplr.exe”有關(guān)的項,并在MS_DOS下刪除kernel32.exe,重啟多次未發(fā)現(xiàn)病毒��,至此病毒完全消除����?��! ?br />
6 W2 j L1 B. m
6 h( }( u2 V! V! |" c 若要打開TXT文檔����,在打開方式中重新選擇“NOTEPAD.EXE”,選擇始終以該程序打開即可���。仔細想想���,昨天上網(wǎng)運行OICQ后,曾在網(wǎng)上與陌生人聊天���,打開其留言�,沒想到無意中感染病毒�����。由此奉勸各位網(wǎng)友在網(wǎng)絡(luò)中不要隨意打開陌生人發(fā)來的E_mail或留言�,以免不必要的麻煩! |
發(fā)表于 2011-1-12 20:59:25
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡