怎麽解決中了冰河木馬病毒的問題？清除冰河木馬的方法

今天給大家帶來怎麽解決中了冰河木馬病毒的問題？清除冰河木馬的方法，讓您輕鬆解決問題。

　　冰河木馬，類似於灰鴿子，其開發初衷雖然隻是一個遠程控製軟件，後成為一款知名的黑客入侵工具，TA不僅可以隨時跟蹤用戶屏幕的變化，還能遠程進行文件操作，還能盜取用戶所有的保存過的口令密碼。閱讀下文了解冰河木馬的功能和清理方法。

　　冰河木馬，跟灰鴿子類似，在設計之初，開發者的本意是編寫一個功能強大的遠程控製軟件。但一經推出，就依靠其強大的功能成為了黑客們發動入侵的工具，並結束了國外木馬一統天下的局麵，跟後來的灰鴿子等等成為國產木馬的標誌和代名詞。HK聯盟Mask曾利用它入侵過數千台電腦，其中包括國外電腦。

　　冰河木馬功能：

　　在2006年之前，冰河在國內一直是不可動搖的領軍木馬，在國內沒用過冰河的人等於沒用過木馬，由此可見冰河木馬在國內的影響力之巨大。

　　目的：遠程訪問、控製。

　　選擇：可人為製造受害者和尋找“養馬場”，選擇前者的基本上可省略掃描的步驟。

　　1、自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入，即在同步被控端屏幕變化的同時，監控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網適用）；

　　2、記錄各種口令信息：包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息；

　　3、獲取係統信息：包括計算機名、注冊公司、當前用戶、係統路徑、操作係統版本、當前顯示分辨率、物理及邏輯磁盤信息等多項係統數據；

　　4、限製係統功能：包括遠程關機、遠程重啟計算機、鎖定鼠標、鎖定係統熱鍵及鎖定注冊表等多項功能限製；

　　5、遠程文件操作：包括創建、上傳、下載、複製、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能；

　　6、注冊表操作：包括對主鍵的瀏覽、增刪、複製、重命名和對鍵值的讀寫等所有注冊表操作功能；

　　7、發送信息：以四種常用圖標向被控端發送簡短信息；

　　8、點對點通訊：以聊天室形式同被控端進行在線交談。

　　從一定程度上可以說冰河是最有名的木馬了，就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它，但國內仍有幾十萬種冰河的電腦存在！作為木馬，冰河創造了最多人使用、最多人中彈的奇跡，掌握了如何清除標準版，再來對付變種冰河就很容易了。

　　冰河的服務器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那麼該程序就會在C:/Windows/system目錄下生成Kernel32.exe和sysexplr.exe，並刪除自身。 Kernel32.exe在係統啟動時自動加載運行，sysexplr.exe和TXT文件關聯。即使你刪除了Kernel32.exe，隻要你打開 TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，於是冰河又回來了！這就是冰河屢刪不止的原因。

　　清除冰河木馬的方法：

　　方法一：安裝了冰河服務端的用戶：

　　如果安裝了“冰河”服務端的朋友就很簡單了。首先在自動掃描中輸入自己的IP，看一下掃描結果是否為“ＯＫ”，並且左邊的“文件管理器”中會出現自己的IP嗎？如果有，在“命令控製台”中的“控製類命令”中的“係統控製”中點擊“自動卸載冰河”就可以了。

　　方法二：未安裝冰河的用戶：

　　如果沒有“冰河”這個軟件朋友也不用著急，請用下麵的方法查找並解除木馬。

　　運行REGEDIT命令打開注冊表編輯器，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 查看鍵值中沒有自己不熟悉的自動啟動文件，擴展名為EXE。（一般“冰河”的默認文件名為KERNEL32.EXE，注意此文件的名字可能會被種馬的人改變）。

　　如果有，那我們現在開始進行修改，先刪除該鍵值中這一項，再刪除RUNDRIVES這個鍵值。 一般“冰河”用戶端程序的自我保護設為：關聯TXT文件或EXE文件，關聯的文件為：SYSEXPLR.EXE。

　　1、在“查看”菜單中選擇“文件夾選項”彈出文件夾選項對話框，選擇“文件類型” 在“已注冊文件類型”框中找到“TXT FILE”這一項，看一下“打開方式”有無變化（一般為：NOTEPAD），如果關聯對象不是NOTEPAD，選擇“編輯”按鈕，在“操作”框中刪除“OPEN”這一項，那關聯 TXT文件的用戶程序就失效了。

　　2、如果是關聯的EXE文件，那打開注冊表編輯器，在HKEY_CLASSES_ROOT.exe中把 “默認”的鍵值隨便改成什麼（注意看清楚，等會兒要改回來）。

　　以上這兩步做完後，退出WINDOWS，在DOS狀態下刪除該“冰河”用戶端程序，重新啟動即可。

　　注意：要把EXE文件的注冊表改回來。 好了，再搜索用木馬程序看有沒有（沒有了吧，偷著笑吧^_^，不用格式化硬盤了）

　　附：如果關聯的是其它類型的文件，修改同上。

　　以上便是關於冰河木馬的功能和清理方法，冰河木馬相對年代比較久了，一般很多殺毒軟件都可以查殺，但變種的木馬就不一定了。

以上就是怎麽解決中了冰河木馬病毒的問題？清除冰河木馬的方法教程,希望本文中能幫您解決問題。