如何清除冰河木馬﹖ 杀毒软件!!!推荐Norton AntiVirus2000:http://www.softlake.com/virus.html 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 你应该删除或改名在c:\windows\system目录下的SYSEXPLR.EXE和KERNEL32.EXE两个文件(之前要清理注册表)。c:\windows\system\explorer.exe是无辜的:)然后你看看文本(*.txt)文件的双击连接是不是被改了,冰河一般把它改成了sysexplr.exe,你可以按住shift键再对着文本文件点右键,在“打开方式”中选择记事本。 gdxy說對了。其它幾位應該也沒錯。但我覺得gdxy的方法最好。不知道gdxy兄何方人氏﹖可以交個朋友嗎﹖我的email是:[email protected]. 很多安全方面的网站都有这方面的内容,查一查就知道了。转摘一篇:冰河病毒手工删除办法Nick网友这里我们先说如何证明自己是否中毒: 粗略:搜索一下是否在windows\system目录下面有kernel32.exe的文档,是exe而不是 dll。有就中了。 精细;运行冰河客户端,添加主机127.0.0.1(windows默认的本机地址),看是否可以 看到自己的硬盘驱动符,如果可以,那就中了。由于前面两个措施,都可以被客户端修改,前面kernel32.exe改成别的,后面端口默认 7626改成其他的。那么就测不出, 最保险得就只能用注册法了 绝对:察看注册码表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: = ##### 以及 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices: = ##### ,看一下有什么程序在windows每次启动的时候自动运行,并提供服务,默认得情况都 是C:\WINDOWS\SYSTEM\Kernel32.exe 而现在也可能改成其他的了(两者相同,而且不是自己安装的软件)。如果有也中了冰 河。现在再说如何解冰河: 这要分几步走:1、首先大家都知道了冰河改了前面两个注册健值,这两个东东当然是要去掉的。 这个时候虽然还在带毒,但是下次启动就应当不自动执行服务端程序了。可是别太 高兴,冰河还设定了一项很重要的关联,那就是打开文本文件所运行的关联程序,这里 被设定为了SYSEXPLR.EXE,也正是这样,所以虽然我们前面删了注册表值,但每次启动 就会修复了。所以:2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉 Shell\open\command中运行的程序,默认的是:\WINDOWS\SYSTEM\Sysexplr.exe %1,如 果是其他形式的一样删,决不手软。 这样,我们就可以高枕无忧了,嗯,还忘了一件事,就是删了kernel32.exe以及 sysexplr.exe这两个家伙。3、我们关闭计算机到ms-dos方式,或者重新启动windows,在启动时按F8选择 command...,然后用dir kernel32.exe /s命令查找该文件(当然默认情况就是 c:\windows\system),然后del it,sysexplr.exe 一样,OK现在就万事大吉(不可在 windows运行后删,而且记住一定要在1、2两步完成后马上做)。当然这里要注意几点:1、kernel32.exe是否被改了名字,如果该了就是前面两个注册表中#####的东西 2、这不表示当时你执行了什么而感染冰河的那个程序已经被删了,因为让你染毒的 人,一般已经把G_server这个程序改了名字。当然,如果你不再执行它,那是没有关系 的啦,下次,大家一定要小心,切忌执行了什么程序,嗯,没有什么反应???#%¥ #,这时一般你就完了。 3、冰河马上就要出新的了,也许这时“老黄”同志可能把前面的注册值改了,而且多 了更多的反删除措施,那时就需要重新研究研究了。 GDXY(GBOY),Fox_110(防暴狐狸),快來接分﹗ 求IP4000数据库控件 总店与分店的需求应该如何解决呢? 一条简单的if语句,运行时有错误,请问各位高手,究竟怎样改才能没有错误啊?谢谢了,在线等待啊 请问TStatusPanelStyle = (psText, psOwnerDraw)中psOwnerDraw如何解释,我看了帮助但还是不太明白其含义.大家帮我解释下好吗? 第二届深圳Delphi爱好者聚会通知 最后的散分十一,先到先得。 来者有分:::大家来讨论一下怎么做个全屏的翻译程序? 庆祝我的网站诞生2岁。散分!来者有分! 文本文件的问题、? 如何在一台裸机上安装ADO驱动?? 异常问题 第一次接触delphi遇到的问题。
c:\windows\system\explorer.exe是无辜的:)
然后你看看文本(*.txt)文件的双击连接是不是被改了,冰河一般把它改成了sysexplr.exe,你可以按住shift键再对着文本文件点右键,在“打开方式”中选择记事本。
面有kernel32.exe的文档,是exe而不是 dll。有就中了。 精细;运行冰河客户端,添
加主机127.0.0.1(windows默认的本机地址),看是否可以 看到自己的硬盘驱动符,
如果可以,那就中了。由于前面两个措施,都可以被客户端修改,前面kernel32.exe改成别的,后面端口默
认 7626改成其他的。那么就测不出, 最保险得就只能用注册法了 绝对:察看注册码
表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: =
##### 以及
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
: = ##### ,看一下有什么程序在windows每次启动的时候自动运行,并提供服务,默
认得情况都 是C:\WINDOWS\SYSTEM\Kernel32.exe 而现在也可能改成其他的了(两者
相同,而且不是自己安装的软件)。如果有也中了冰 河。现在再说如何解冰河: 这要分几步走:1、首先大家都知道了冰河改了前面两个注册健值,这两个东东当然是要去掉的。 这个
时候虽然还在带毒,但是下次启动就应当不自动执行服务端程序了。可是别太 高兴,冰
河还设定了一项很重要的关联,那就是打开文本文件所运行的关联程序,这里 被设定为
了SYSEXPLR.EXE,也正是这样,所以虽然我们前面删了注册表值,但每次启动 就会修
复了。所以:2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\,可以在其次键中发觉
Shell\open\command中运行的程序,默认的是:\WINDOWS\SYSTEM\Sysexplr.exe %
1,如 果是其他形式的一样删,决不手软。 这样,我们就可以高枕无忧了,嗯,还忘了
一件事,就是删了kernel32.exe以及 sysexplr.exe这两个家伙。3、我们关闭计算机到ms-dos方式,或者重新启动windows,在启动时按F8选择
command...,然后用dir kernel32.exe /s命令查找该文件(当然默认情况就是
c:\windows\system),然后del it,sysexplr.exe 一样,OK现在就万事大吉(不可
在 windows运行后删,而且记住一定要在1、2两步完成后马上做)。当然这里要注意几点:1、kernel32.exe是否被改了名字,如果该了就是前面两个注册表中#####的东西 2、这不表示当时你执行了什么而感染冰河的那个程序已经被删了,因为让你染毒的
人,一般已经把G_server这个程序改了名字。当然,如果你不再执行它,那是没有关
系 的啦,下次,大家一定要小心,切忌执行了什么程序,嗯,没有什么反应???#%
¥ #,这时一般你就完了。 3、冰河马上就要出新的了,也许这时“老黄”同志可能把前面的注册值改了,而且多
了更多的反删除措施,那时就需要重新研究研究了。