冰河木马如何清除

冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-serverexe，客户端程序为G-clientexe，默认连接端口为7626 一旦运行G-server，那么该程序就会在C：\\Windows\\system目录下生成Kernel32exe和sysexplrexe，并删除自身。Kernel32exe在系统启动时自动加载运行，sysexplrexe和TXT文件关联。即使你删除了Kernel32exe，但只要你打开TXT文件，sysexplrexe就会被激活，它将再次生成Kernel32exe，于是冰河又回来了！这就是冰河屡删不止的原因。 要清除冰河，首先要删除C：\\Windows\\system下的Kernel32exe和Sysexplrexe文件；冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根，键值为C：\\Windows\\system\\Kernel32 exe，删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下，还有键值为C：\\Windows\\system\\ Kernel32exe的，也要删除。 最后，恢复注册表中的TXT文件关联功能，只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值，由中木马后的C：\\Windows\\system\\ Sysexplrexe %1改为正常情况下的C：\\Windows\\ notepadexe %1即可。

冰河木马开发于1999年，跟灰鸽子类似，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。

但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑，其中包括国外电脑。

特征：自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标 *** 作将反映在被控端屏幕（局域网适用）；记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。

清除方法：删除C:\Windows\system下的Kernel32exe和Sysexplrexe文件。

扩展资料

冰河病毒原理：

网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听 (Listen)， 如果有客户机向服务器的这一端口提出连接请求(Connect Request)， 服务器上的相应程序就会自动运行，来应答客户机的请求，

这个程序我们称为守护进程(UNIX的术语，不过已经被移植到了MS系统上)。对于冰河，被控制端就成为一台服务器，控制端则是一台客户机，G_serverexe是守护进程， G_client是客户端应用程序。(这一点经常有人混淆，而且往往会给自己种了木马!）

---