冰河木马清除法一则

我象往常一样开机后，察看防BO病毒软件TCactive!,发现前几天显示框内只显示11个线程，今天却显示12个，想想这几天没有装任何软件，于是运行msconfig.exe,发现多出一个kernel32.exe，形似windows\system下的kernel32.dll,当时没有多想。
　　
　　中午买到23日出版的《电脑商情报》便埋头看了起来，看到“蔫老虎信箱”时，有一小篇读者来信是关于冰河病毒的，“从未染过”BO的我猛然一震，kernel32.exe是冰河病毒的程序，连忙开机查找，发现在windows\system下有一同名文件，由于程序正被运行，无法删除，先删除注册表中所有与"kernel32.exe"有关的项，然后重启到MS-DOS下，用DELTREE命令删除，以为万事大吉，然而进入window界面后，发现其又在运行，病毒程序还在windows\system下。
' h# w$ f; Y! E! K　　
3 ^" y0 G1 {" S, N- U8 d- Z　　到黑客网站上下载一“冰河V2.2版”，解压后有四个文件(G_Client.exe、G_Server.exe、operate.ini、readme.txt),进行解析，发现运行被监控端后台监控程序g_server.exe后即感染病毒，监控端通过监控端执行程序g_client.exe 进行监视。kernel32.exe是与文件类型(如txtfile,exefile)相关联,以便被删除后在打开相关文件时自动恢复。查找与病毒感染时间相近的文件，发现在windows\system下有kernel32.exe 、sysexplr.exe、sendme.dll、sendme.dl_、sendme.cfg等文件，感染日期、时间基本相同，其中sysexplr.exe可打开TXT文件，正是与病毒关联的程序，将上述文件除kernel32.exe外全部删除 ，删除注册表中所有与“kernel32.exe”、“sysexplr.exe”有关的项,并在MS_DOS下删除kernel32.exe,重启多次未发现病毒，至此病毒完全消除。　　
　　
     若要打开TXT文档，在打开方式中重新选择“NOTEPAD.EXE”，选择始终以该程序打开即可。仔细想想，昨天上网运行OICQ后，曾在网上与陌生人聊天，打开其留言，没想到无意中感染病毒。由此奉劝各位网友在网络中不要随意打开陌生人发来的E_mail或留言，以免不必要的麻烦！