一旦運(yùn)行G-server，那么該程序就會在C：\Windows\system目錄下生成Kernel32.exe和sysexplr.exe,，并刪除自身,。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián),。即使你刪除了Kernel32.exe,，但只要你打開TXT文件，sysexplr.exe就會被激活,，它將再次生成Kernel32.exe,，于是冰河又回來了！這就是冰河屢刪不止的原因,。

  要清除冰河,，首先要?jiǎng)h除C：\Windows\system下的Kernel32.exe和Sysexplr.exe文件；冰河會在注冊表的HKEY_LOCAL_MACHINE\ software\ microsoft\ Windows\CurrentVersion\Run分支下扎根,，鍵值為C：\Windows\system\Kernel32. exe,，刪除它。在注冊表的

HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Runservices

分支下,，還有鍵值為C：\Windows\system\ Kernel32.exe的,，也要?jiǎng)h除。

  最后,，恢復(fù)注冊表中的TXT文件關(guān)聯(lián)功能,，只要將注冊表的

HKEY_CLASSES_ROOT\txtfile\ shell\open\command

下的默認(rèn)值,，由中木馬后的C：\Windows\system\ Sysexplr.exe %1改為正常情況下的C：\Windows\ notepad.exe %1即可.