大名鼎鼎的冰河木马。虽然许多杀毒软件可以查杀它但国内仍有几十万中冰河的电脑存在这里介绍的其标准版。

冰河的服务器端程序为 G-server.ex 客户端程序为 G-client.ex 默认连接端口为 7626

    一旦运行 G-server 那么该程序就会在 C:Windowssystem 目录下生成 Kernel32.ex 和 sysexplr.ex 并删除自身。 Kernel32.ex 系统启动时自动加载运行， sysexplr.ex 和 TXT 文件关联。

    即使你删除了 Kernel32.ex 但只要你打开 TXT 文件， sysexplr.ex 就会被激活，将再次生成 Kernel32.ex 于是冰河又回来了这就是冰河屡删不止的原因。

清除方法：

1 删除 C:Windowssystem 下的 Kernel32.ex 和 Sysexplr.ex 文件。

2 冰河会在注册表 HKEY_LOCA L_MA CHINEsoftwaremicrosoftwindows

CurrentVersionRun 下扎根，键值为 C:windowssystemKernel32.ex 删除它

3 注册表的 HKEY_LOCA L_MA CHINEsoftwaremicrosoftwindows

CurrentVersionRunservic 下，还有键值为 C:windowssystemKernel32.ex 也要删除。

4 最后，改注册表 HKEY_CLA SSES_ROOTtxtfileshellopencommand 下的默认值，由中木马后的 C:windowssystemSysexplr.exe%1 改为正常情况下的 C:windowsnotepad.ex %1 即可恢复 TXT 文件关联