调试易

你应该删除或改名在c:\windows\system目录下的SYSEXPLR.EXE和KERNEL32.EXE两个文件(之前要清理注册表)。
c:\windows\system\explorer.exe是无辜的：）
然后你看看文本（*.txt）文件的双击连接是不是被改了，冰河一般把它改成了sysexplr.exe，你可以按住shift键再对着文本文件点右键，在“打开方式”中选择记事本。

gdxy說對了。其它幾位應該也沒錯。但我覺得gdxy的方法最好。不知道gdxy兄何方人氏﹖可以交個朋友嗎﹖我的email是:[email protected].

很多安全方面的网站都有这方面的内容，查一查就知道了。转摘一篇：冰河病毒手工删除办法Nick网友这里我们先说如何证明自己是否中毒： 粗略：搜索一下是否在windows\system目录下
面有kernel32.exe的文档，是exe而不是 dll。有就中了。 精细；运行冰河客户端，添
加主机127.0.0.1（windows默认的本机地址），看是否可以 看到自己的硬盘驱动符，
如果可以，那就中了。由于前面两个措施，都可以被客户端修改，前面kernel32.exe改成别的，后面端口默
认 7626改成其他的。那么就测不出， 最保险得就只能用注册法了 绝对：察看注册码
表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: = 
##### 以及 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
: = ##### ，看一下有什么程序在windows每次启动的时候自动运行，并提供服务，默
认得情况都 是C:\WINDOWS\SYSTEM\Kernel32.exe 而现在也可能改成其他的了（两者
相同，而且不是自己安装的软件）。如果有也中了冰 河。现在再说如何解冰河： 这要分几步走：1、首先大家都知道了冰河改了前面两个注册健值，这两个东东当然是要去掉的。 这个
时候虽然还在带毒，但是下次启动就应当不自动执行服务端程序了。可是别太 高兴，冰
河还设定了一项很重要的关联，那就是打开文本文件所运行的关联程序，这里 被设定为
了SYSEXPLR.EXE，也正是这样，所以虽然我们前面删了注册表值，但每次启动 就会修
复了。所以：2、在注册表中找到HKEY_CLASSES_ROOT\txtfile\，可以在其次键中发觉 
Shell\open\command中运行的程序，默认的是:\WINDOWS\SYSTEM\Sysexplr.exe %
1，如 果是其他形式的一样删，决不手软。 这样，我们就可以高枕无忧了，嗯，还忘了
一件事，就是删了kernel32.exe以及 sysexplr.exe这两个家伙。3、我们关闭计算机到ms-dos方式，或者重新启动windows，在启动时按F8选择 
command...，然后用dir kernel32.exe /s命令查找该文件（当然默认情况就是 
c:\windows\system)，然后del it，sysexplr.exe 一样，OK现在就万事大吉（不可
在 windows运行后删，而且记住一定要在1、2两步完成后马上做）。当然这里要注意几点：1、kernel32.exe是否被改了名字，如果该了就是前面两个注册表中#####的东西 2、这不表示当时你执行了什么而感染冰河的那个程序已经被删了，因为让你染毒的 
人，一般已经把G_server这个程序改了名字。当然，如果你不再执行它，那是没有关
系 的啦，下次，大家一定要小心，切忌执行了什么程序，嗯，没有什么反应？？？#%
￥ #，这时一般你就完了。 3、冰河马上就要出新的了，也许这时“老黄”同志可能把前面的注册值改了，而且多 
了更多的反删除措施，那时就需要重新研究研究了。

GDXY(GBOY),Fox_110(防暴狐狸),快來接分﹗