冰河病毒手工删除办法

Nick网友

这里我们先说如何证明自己是否中毒： 粗略：搜索一下是否在windows\system目录下

面有kernel32.exe的文档，是exe而不是 dll。有就中了。 精细；运行冰河客户端，添

加主机127.0.0.1（windows默认的本机地址），看是否可以 看到自己的硬盘驱动符，

如果可以，那就中了。

由于前面两个措施，都可以被客户端修改，前面kernel32.exe改成别的，后面端口默

认 7626改成其他的。那么就测不出， 最保险得就只能用注册法了 绝对：察看注册码

表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: =

##### 以及

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

: = ##### ，看一下有什么程序在windows每次启动的时候自动运行，并提供服务，默

认得情况都 是C:\WINDOWS\SYSTEM\Kernel32.exe 而现在也可能改成其他的了（两者

相同，而且不是自己安装的软件）。如果有也中了冰 河。

现在再说如何解冰河： 这要分几步走：

1、首先大家都知道了冰河改了前面两个注册健值，这两个东东当然是要去掉的。 这个

时候虽然还在带毒，但是下次启动就应当不自动执行服务端程序了。可是别太 高兴，冰

河还设定了一项很重要的关联，那就是打开文本文件所运行的关联程序，这里 被设定为

了SYSEXPLR.EXE，也正是这样，所以虽然我们前面删了注册表值，但每次启动 就会修

复了。所以：

2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\，可以在其次键中发觉

Shell\open\command中运行的程序，默认的是:\WINDOWS\SYSTEM\Sysexplr.exe %

1，如 果是其他形式的一样删，决不手软。 这样，我们就可以高枕无忧了，嗯，还忘了

一件事，就是删了kernel32.exe以及 sysexplr.exe这两个家伙。

3、我们关闭计算机到ms-dos方式，或者重新启动windows，在启动时按F8选择

command...，然后用dir kernel32.exe /s命令查找该文件（当然默认情况就是

c:\windows\system)，然后del it，sysexplr.exe 一样，OK现在就万事大吉（不可

在 windows运行后删，而且记住一定要在1、2两步完成后马上做）。

当然这里要注意几点：

1、kernel32.exe是否被改了名字，如果该了就是前面两个注册表中#####的东西

2、这不表示当时你执行了什么而感染冰河的那个程序已经被删了，因为让你染毒的

人，一般已经把G_server这个程序改了名字。当然，如果你不再执行它，那是没有关

系 的啦，下次，大家一定要小心，切忌执行了什么程序，嗯，没有什么反应？？？#%

￥ #，这时一般你就完了。

3、冰河马上就要出新的了，也许这时"老黄"同志可能把前面的注册值改了，而且多

了更多的反删除措施，那时就需要重新研究研究了。