破解黑客系列——冰河木马清除法
今天,也就是8月9日,我象往常一样开机后,回了QQ空间的贴以后就察看防BO病毒软件TCactive!,发现前几天显示框内只显示11个线程,今天却显示12个,想想这几天没有装任何软件,于是运行msconfig.exe,发现多出一个kernel32.exe,形似windowssystem下的kernel32.dll,当时没有多想。
中午没事做,就随手拿起了8月23日出版的《电脑商情报》便埋头看了起来,看到“蔫老虎信箱”时,有一小篇读者来信是关于冰河病毒的,“从未染过”BO的我猛然一震,kernel32.exe是冰河病毒的程序,连忙开机查找,发现在windowssystem下有一同名文件,由于程序正被运行,无法删除,先删除注册表中所有与"kernel32.exe"有关的项,然后重启到MS-DOS下,用DELTREE命令删除,以为万事大吉,然而进入window界面后,发现其又在运行,病毒程序还在windowssystem下。
到黑客网站上下载一“冰河V2.2版”,解压后有四个文件(G_Client.exe、G_Server.exe、operate.ini、readme.txt),进行解析,发现运行被监控端后台监控程序g_server.exe后即感染病毒,监控端通过监控端执行程序g_client.exe 进行监视。kernel32.exe是与文件类型(如txtfile,exefile)相关联,以便被删除后在打开相关文件时自动恢复。查找与病毒感染时间相近的文件,发现在windowssystem下有kernel32.exe 、sy***plr.exe、sendme.dll、sendme.dl_、sendme.cfg等文件,感染日期、时间基本相同,其中sy***plr.exe可打开TXT文件,正是与病毒关联的程序,将上述文件除kernel32.exe外全部删除 ,删除注册表中所有与“kernel32.exe”、“sy***plr.exe”有关的项,并在MS_DOS下删除kernel32.exe,重启多次未发现病毒,至此病毒完全消除。
若要打开TXT文档,在打开方式中重新选择“NOTEPAD.EXE”,选择始终以该程序打开即可;我就曾在打开OICQ后,在网上与陌生人聊天,打开其留言,没想到无意中感染病毒。由此奉劝各位网友在网络中不要随意打开陌生人发来的E_mail或留言,以免不必要的麻烦!
中午没事做,就随手拿起了8月23日出版的《电脑商情报》便埋头看了起来,看到“蔫老虎信箱”时,有一小篇读者来信是关于冰河病毒的,“从未染过”BO的我猛然一震,kernel32.exe是冰河病毒的程序,连忙开机查找,发现在windowssystem下有一同名文件,由于程序正被运行,无法删除,先删除注册表中所有与"kernel32.exe"有关的项,然后重启到MS-DOS下,用DELTREE命令删除,以为万事大吉,然而进入window界面后,发现其又在运行,病毒程序还在windowssystem下。
到黑客网站上下载一“冰河V2.2版”,解压后有四个文件(G_Client.exe、G_Server.exe、operate.ini、readme.txt),进行解析,发现运行被监控端后台监控程序g_server.exe后即感染病毒,监控端通过监控端执行程序g_client.exe 进行监视。kernel32.exe是与文件类型(如txtfile,exefile)相关联,以便被删除后在打开相关文件时自动恢复。查找与病毒感染时间相近的文件,发现在windowssystem下有kernel32.exe 、sy***plr.exe、sendme.dll、sendme.dl_、sendme.cfg等文件,感染日期、时间基本相同,其中sy***plr.exe可打开TXT文件,正是与病毒关联的程序,将上述文件除kernel32.exe外全部删除 ,删除注册表中所有与“kernel32.exe”、“sy***plr.exe”有关的项,并在MS_DOS下删除kernel32.exe,重启多次未发现病毒,至此病毒完全消除。
若要打开TXT文档,在打开方式中重新选择“NOTEPAD.EXE”,选择始终以该程序打开即可;我就曾在打开OICQ后,在网上与陌生人聊天,打开其留言,没想到无意中感染病毒。由此奉劝各位网友在网络中不要随意打开陌生人发来的E_mail或留言,以免不必要的麻烦!