木马冰河软件_木马程序冰河

如何清除冰河木马

冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626.

一旦运行G-server，那么该程序就会在C：\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。

要清除冰河，首先要删除C：\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件；冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根，键值为C：\\Windows\\system\\Kernel32. exe，删除它。在注册表的

HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices

分支下，还有键值为C：\\Windows\\system\\ Kernel32.exe的，也要删除。

最后，恢复注册表中的TXT文件关联功能，只要将注册表的

HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command

下的默认值，由中木马后的C：\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C：\\Windows\\ notepad.exe %1即可。

Win10中了冰河木马怎么处理

Win10中了冰河木马的解决方法。

方法如下：

方法一：

如果安装了“冰河”服务端的朋友就很简单了。首先在自动扫描中输入自己的IP，看一下扫描结果是否为“OK”，并且左边的“文件管理器”中会出现自己的IP吗?如果有，在“命令控制台”中的“控制类命令”中的“系统控制”中点击“自动卸载冰河”就可以了。

方法二：

如果没有“冰河”这个软件朋友也不用着急，请用下面的.方法查找并解除木马。

运行REGEDIT命令打开注册表编辑器，在KEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun  查看键值中没有自己不熟悉的自动启动文件，扩展名为EXE。(一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变)。

如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES这个键值。  一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。

A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型” 在“已注册文件类型”框中找到“TXT  FILE”这一项，看一下“打开方式”有无变化(一般为：NOTEPAD)，如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联  TXT文件的用户程序就失效了。

B、如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT.exe中把  “默认”的键值随便改成什么(注意看清楚，等会儿要改回来)。

以上这两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。

注意：要把EXE文件的注册表改回来。 好了，再搜索用木马程序看有没有。

冰河木马如何下载

冰河木马下载方法：

点击冰河主程序，首先，配置本地服务器程序，单击从右边数过来第三个图标（或在设置-配置服务器程序）在基本设置中：安装路径指服务器程序运行时，自动安装在哪个文件夹；文件名称指服务器安装后程序的名称，进程名称指按Alt+Ctrl+del三链在“关闭程序”显示的文件名；

访问口令指如果您加了密码，访问中此木马的密码；敏感字符指你想要获取对方密码的关键词，比如输入password，冰河服务端将记录password的密码；

提示信息指对方运行服务端出现的窗口，比如说此文件已损坏等骗人的话；监听端口指中冰河者打开的端口，您用冰河控制端通过这个端口访问；

自动删除安装文件指对方运行服务端后，是否删除本身（就是运行后，程序不见了，而会在其它地方安装了）禁止自动拨号指运行服务端后，是否马上拨号上网连接。

Win10中了冰河木马怎么办

如果没有“冰河”这个软件朋友也不用着急，请用下面的方法查找并解除木马。

运行REGEDIT命令打开注册表编辑器，在KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 查看键值中没有自己不熟悉的自动启动文件，扩展名为EXE。（一般“冰河”的默认文件名为KERNEL32.EXE，注意此文件的名字可能会被种马的人改变）。

如果有，那我们现在开始进行修改，先删除该键值中这一项，再删除RUNDRIVES这个键值。 一般“冰河”用户端程序的自我保护设为：关联TXT文件或EXE文件，关联的文件为：SYSEXPLR.EXE。

A、在“查看”菜单中选择“文件夹选项”弹出文件夹选项对话框，选择“文件类型” 在“已注册文件类型”框中找到“TXT FILE”这一项，看一下“打开方式”有无变化（一般为：NOTEPAD），如果关联对象不是NOTEPAD，选择“编辑”按钮，在“操作”框中删除“OPEN”这一项，那关联 TXT文件的用户程序就失效了。

B、如果是关联的EXE文件，那打开注册表编辑器，在HKEY_CLASSES_ROOT\.exe中把 “默认”的键值随便改成什么（注意看清楚，等会儿要改回来）。

以上这两步做完后，退出WINDOWS，在DOS状态下删除该“冰河”用户端程序，重新启动即可。

注意：要把EXE文件的注册表改回来。 好了，再搜索用木马程序看有没有。

【TS。DM】