壹旦運行G-server,那麽該程序就會在C:\\Windows\\system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。Kernel32.exe在系統啟動時自動加載運行,sysexplr.exe和TXT文件關聯。即使妳刪除了Kernel32.exe,但只要妳打開TXT文件,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。
要清除冰河,首先要刪除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河會在註冊表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下紮根,鍵值為C:\\Windows\\system\\Kernel32. exe,刪除它。在註冊表的
HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices
分支下,還有鍵值為C:\\Windows\\system\\ Kernel32.exe的,也要刪除。
最後,恢復註冊表中的TXT文件關聯功能,只要將註冊表的
HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command
下的默認值,由中木馬後的C:\\Windows\\system\\ Sysexplr.exe %1改為正常情況下的C:\\Windows\\ notepad.exe %1即可。