1.冰河在注册表启动组里登记了启动项,通常在windows\system目录下复制木马及其副本,随window启动。所以要删除木马,必须在纯Dos下执行。进入windows\system目录,查找kernel32.exe和sysexplore.exe这两个具有“系统,只读”属性的文件,将其删除;
2.回到windows下,运行regedit注册表编辑器,找HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\,将run, runservices等项下有kernel32.exe的主键删除;
3.将HKEY_CLASSES_ROOT\txtfile\shell\open\command下缺省键值改为"C:\WINDOWS\notepad.exe %1";或打开资源浏览器,单击“查看/文件夹选项/文件类型”,找到文本文档,编辑“open”,将其执行文件改回“C:\WINDOWS\notepad.exe %1”.
另:用冰河清除器试试 |
