图6
　　　点击放大

　　第一步、恢复注册表

　　点击“开始”→“运行”，输入regedit打开注册表编辑器，来到注册表：

　　1).清除注册表中木马启动键值：到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下面，将默认值"C:\WINDOWS\SYSTEM\system32.exe"删除；

　　2).恢复注册表中被木马修改的文件关联：到HKEY_CLASSES_ROOT\*\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\*\shell\open\command下，将默认值 "C:\WINDOWS\SYSTEM\tel.exe %1"删除。这是无关联文件打开方式在注册表中的位置。

　　第二步、删除木马文件

　　冰河9.11会在C:\windows\system下生成两个木马文件：system32.exe和tel.exe，它们用的都是QQ小企鹅图标，文件大小都为278528字节，文件修改时间为2001年10月1日。system32.exe每次开机都会随系统启动运行，tel.exe是隐藏的木马，当你打开无关联文件时就会自动生成system32.exe。删除它们的方法是到纯DOS下删除它们。

　　六、清除各类盗版冰河总体思路

　　盗版冰河是冰河过于流行的结果，上面介绍的冰河5.0、5.5、6.0、9.11等都属于这一类的，它们不是原作者的产品，故曰“盗版”冰河。对付这类盗版冰河可以采用下面这些方法：

　　方法一、用自动卸载功能清除冰河

　　就是下载相应版本的冰河，利用控制端来卸载服务端。方法如下：启动控制端，在添加主机里添加127.0.0.1(就是脱机状态下的默认IP地址)，按应用，如果链接成功，在命令控制台→控制类命令→系统控制→自动卸载冰河，把冰河成功卸载，如果状态栏显示口令错误，无法链接(这是因为在你电脑植入冰河木马的人加了密码，有密码才能链接)，试试下面的万能密码：

　　2.2版：Can you speak Chinese?
　　2.2版：05181977
　　3.0版：yzkzero!
　　4.0版：05181977
　　3.0版：yzkzero.51.net
　　3.3版：******?*(*号代表空格)
　　3.0版：yzkzero!
　　3.1-netbug版密码: 123456!@
　　2.2杀手专版：05181977
　　2.2杀手专版：dzq20000!

　　如果成功了按上面的方法卸载冰河！

上一页  1 2 3 4 5 6 7 8 9 10 11 12  下一页