冰河
我们这里介绍的是其标准版,掌握了如何清除标准版,再来对付变种冰河就很容易了。 冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:\Windows\system目录下生成Kernel32.exe和sy***plr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sy***plr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sy***plr.exe就会被激活,它将再次生成Kernel32.exe。
清除方法:
1.删除C:\Windows\system下的Kernel32.exe和Sy***plr.exe文件;
2.冰河会在注册表HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Run下扎根,键值为C:\windows\system\Kernel32.exe,删除它;
3.在注册表的HKEY_LOCAL_ MACHINE\software\microsoft\windows\ CurrentVersion\Runservices下,还有键值为C:\windows\system\Kernel32.exe的,也要删除;
4.最后,改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值,由表中木马后的C:\windows\system\Sy***plr.exe %1改为正常的C:\windows\notepad.exe %1,即可恢复TXT文件关联功能。
[ 此贴被tianjiaming在2008-11-18 20:57重新编辑 ]
