computer 版 (精华区)

发信人: neverbw (今天，你Seek Qin了吗？), 信区: network
标  题: 遭遇木马：手工清除GOP木马记
发信站: 听涛站 (2001年11月16日18:06:56 星期五), 站内信件

那天像平时一样，一上网就收邮件。在收到的邮件中看见了一封比较奇怪的EMAIL，是
人家转发来的，看了看邮件原始信息，邮件地址是陌生的，文件是一个用FALSH做成的.
EXE文件，于是我就打开看看！一打开，我的金山毒霸防火墙就报警了，一看，原来是一
个叫Trojan.GOP19HookDll.61440的木马，它感染了我的C:\WINNT\system32\下的IMEKe
rnel32.sys文件，文件被感染后，每运行其它程序，防火墙就报警，真有点烦了，想不
清除它看来是不行了。
　　在我记忆中，这木马好像是黑QQ号的木马，由是就来到了QQ的网站，在最新下载－
＞防木马软件－＞下载了个KILLGOP的清GOP工具（心想，哈哈！这下你就不再烦我了吧
）。
　　打开KILLGOP进行对该木马的清除工作，等了好几分钟，扫描完了，但是什么也扫不
出来呀！心就想，难道这木马已经不适合用这工具来清除了？于是就把金山毒霸升级到
了最新版，再杀一次，还是不行（我倒！到底是什么木马呀？）。
　　于是又下了大名顶顶的The Cleaner了（当天出的版本），又扫了十来分钟，还是没
有扫描出木马来。
　　没办法了，看来这木马是国产木马，就用手工清除它吧，在注册表里找到HKEY_LOC
AL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 哈哈，果然在这里，发
现了在启动时加载了一个陌生的程序 “C:\winnt\system32\ kernel32.exe”，于是把
该项删除了。马上重启一下系统，重启后马上查找IMEKernel32.sys这个文件，找到后就
删除了这个文件。后来再用金山毒霸扫描一次！木马没了！系统回复正常！
　　大家一定一定要警惕不明邮件呀，最近我已经收到多封这类EMAIL了，主题或内容都
是一些很让人开心的话。 什么“我的相片”，“送你一个小礼物”，“打开看看，望你
喜欢。”什么什么的……

--



Thunderbird750oc900
HY256M SDRAM
EPox 8KTA3（集成AC97）
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]