冰河木马为何物:冰河是一个国产木马,在国内流行极广,几乎每一百台计算机就有两三台寄存着该木马,有些地方的中马比例会更高尤其是网吧。它能让中下这个木马的人能完全控制你的计算机,如看到你的屏幕,盗取密码,删除你电脑中的任何文件,总之就像你使电脑一样方便的控制着您的电脑,危险性极高。如果发现该木马应该立即清除!下面介绍几种清除方法:
(一)注:冰河5.0以后版本清除
由于冰河5.5版,利用病毒原理感染启动项中的exe文件,像天网,瑞星,这样的随机启动程序。必需先将被感染文件删除,才能有效清除。
(二)冰河5.0前版本清除
1.速效清除冰河法“恢愎注册表启动项”(傻瓜式)
方法简单,适合对冰河和注册表不熟识者使用。
当你怀凝自己机器中了冰河,不放心也能用此方法即使没有中冰河也没害处。
下载本站提供的“清除冰河恢愎注册表文件包”。将每个注册表文件在windows下执行一次,再重启。经过恢愎注册表后,冰河就不会再在下次启动出现了。但是,冰河的尸体仍然留存你的c盘,不过它已经死了,不会自动复活的。对你使用机器并不有任何妨碍。这时你大可用杀毒软件放心查杀它。
“恢愎注册表文件包”说明:
exefile.reg:恢愎关联了exe文件。
txtfile.reg:恢愎关联了txt文件。
run.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项恢愎到最基本状态。
runservice.reg:
将注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice项恢愎到最基本状态。
2.半手工清除冰河
如果冰河关联了exe文件时,现时的一些杀毒软件在清除完冰河后造成exe文件不能使用,(关联txt文件的记事本不能定位)在这种情况下不少人唯有选择重装。
下面讲一个与杀毒软件配合的半手工清除方法:
先执行恢愎注册表文件包中的exefile.reg恢愎关联exe文件。再用杀毒软件查杀。这样就不会有上述情况出现了。
3完全手工清除冰河
如果你熟识冰河和注册表可用下面方法清除
手工删除冰河
清除冰河v1.1
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe
清除冰河v2.2以上版本
服务器程序、路径用户是可以随意定义,写入注册表的键名也可以自己定义。
如果是默认的配置清除方法可参照清除冰河v1.1版方法。
否则:察看注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservice两项。把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
或在WINDOWS下结束相应服务端程序。(如果WIN2000可
在任务管理器中做。如果是WIN9X,可以下载专门的进程管理软件结束它。地址:
http://stamplink.go.163.com/blue-hacker/tca.exe)最后,在硬盘中用“查找”,找出对应文件并删除它。
重新启动Windows。OK