[分享]各版本冰河手工查杀一览

cnangel

尽管冰河的出现已经很长时间了，但是随着冰河变种的增多，使用冰河的人的增多，导致中冰河的人有增无减。另一方面许多朋友不注意升级杀毒软件的病毒库，导致“新”冰河无法查杀，这样自己中了冰河还不知道，所以有必要介绍一下各版本冰河的清除方法，免得大家成为别人的“肉机”。下面是针对比较流行的各版本的冰河的清除方法：
　　1、冰河V1.1清除方法
　　找开注册表Regedit
　　打开HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,删除“C:\WINDOWS\SYSTEM\KERNEL32.EXE”和"C:\WINDOWS\SYSTEM\SYSEXPLR.EXE"两项。
　　如果有进程软件，就用进程软件把KERNEL32.EXE和SYSEXPLR.EXE终止；删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE(因为程序正在运行，无法删除，所以先要终止)
　　如果没有进程软件，就重新启动到纯DOS下，删除C:\WINDOWS\SYSTEM\KERNEL32.EXE和C:\WINDOWS\SYSTEM\SYSTEM\SYSEXPLR.EXE这两个文件。
　　2、冰河V2.2[DARKSUN专版]清除方法
　　因为冰河2.2以上版本服务端程序名称、文件存放路径、写入注册表的键名等等都可以随自己意愿改变，所以查杀难度复杂，以默认的配置为例，查看注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN和HEKY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNSERVICE两项，把陌生的文件路径删除(要有一定的WINDOWS的基础才能删除)，然后根据路径按照V1.1的方法删除文件。
　3、冰河5.0清除方法
　　较前面两个冰河，这一版本的冰河清除起来就很麻烦了。由于冰河5.0对注册表的修改较大，所以恢复起来很麻烦。为方便起见，我们用“记事本”程序来编写四个恢复注册表的文件：
　　1).编写txtfile.reg文件，内容如下：
　　REGEDIT4
　　[HKEY_CLASSES_ROOT\txtfile]
　　@="文本文档"
　　[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]
　　@="shell32.dll,-152"
　　[HKEY_CLASSES_ROOT\txtfile\shell]
　　[HKEY_CLASSES_ROOT\txtfile\shell\open]
　　[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
　　@="Notepad.exe %1"
　　[HKEY_CLASSES_ROOT\txtfile\shell\print]
　　[HKEY_CLASSES_ROOT\txtfile\shell\print\command]
　　@="C:\\WINDOWS\\NOTEPAD.EXE /p %1"
　　2).编写comfile.reg文件，内容如下：
　　REGEDIT4
　　[HKEY_CLASSES_ROOT\comfile]
　　@="MS-DOS 应用程序"
　　"EditFlags"=hex8,07,00,00
　　[HKEY_CLASSES_ROOT\comfile\shell]
　　@=""
　　[HKEY_CLASSES_ROOT\comfile\shell\open]
　　@=""
　　"EditFlags"=hex:00,00,00,00
　　[HKEY_CLASSES_ROOT\comfile\shell\open\command]
　　@="\"%1\" %*"
　　[HKEY_CLASSES_ROOT\comfile\shellex]
　　[HKEY_CLASSES_ROOT\comfile\shellex\PropertySheetHandlers]
　　[HKEY_CLASSES_ROOT\comfile\shellex\PropertySheetHandlers\{;86F19A00-42A0-1069
　　-A2E9-08002B30309D};]
　　@=""
　　[HKEY_CLASSES_ROOT\comfile\DefaultIcon]
　　@="C:\\WINDOWS\\SYSTEM\\shell32.dll,2"
　　3).编写run.reg文件，内容如下：
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　"internat.exe"="internat.exe"
　　"ScanRegistry"="C:\\WINDOWS\\scanregw.exe /autorun"
　　"SystemTray"="SysTray.ExE"
　　"LoadPowerProfile"="Rundll32.exe powrprof.dll,LoadCurrentPwrScheme"
　　@=""
4).编写runservices.reg文件，内容如下：
　　REGEDIT4
　　[HKEY_LOCAL_MACHINE\Soft-
ware\Microsoft\Windows\Cur-
rentVersion\RunServices]
　　"LoadPowerProfile"="Rundll-
32.exe powrprof.dll,Load-
CurrentPwrScheme"
　　@=""
　　执行这四个注册表恢复文件。接着运行regedit，查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面是否有kernel.exe，或者sysexplr.exe，如果有就删除之。这样操作之后，还没有清除干净，请查找windows\system\下的透明图标文件(类似wins.exe或者win32.exe的文件名)，在纯DOS下删除它，同时删除c:\windows\system\kernel.exe和sysexplr.exe(如果有的话)。重启机器，一切都OK了！
　　要特别注意的是，在你编制的注册表文件unlock.reg中，“REGEDIT4”一定要大写，并且它的后面一定要空一行，还有，“REGEDIT4”中的“4”和“T”之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点喽。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”改为Windows Registry Editor Version 5.00。
　　4、冰河5.5LFP病毒感染专版清除方法
　　冰河5.5LFP病毒感染专版是个令人头痛的家伙，从它的名字中你可能也看出来了，它还是个“病毒”！它会感染随机器启动的exe文件，把自己插入其中，它的原理是：把木马插入EXE文件，运行时释放木马并运行，请注意它采用的是汇编插入，不是通常木马所采用的捆绑方式，如果你会编程，就会知道之间的区别。
　　如果不小心运行了冰河5.5LFP的服务端程序，会在C:\WINDOWS\SYSTEM\文件夹下增加4个文件：
　　lfp.dll，大小295KB；
　　lfp.exe，大小259KB；
　　tel.lfp，大小259KB；
　　system32.dll，大小259KB。
　　从它在系统中增加了这么文件来看，该木马的清除非常的不容易，事实上也的确如此，为了清除该木马花费了我许多功夫。
　　第一步，恢复被修改的注册表。
　　运行REGEDIT，修改如下注册表：
　　(1)
　　[HKEY_CLASSES_ROOT\*\{;删除};Shell\open\command]
　　C:\WINDOWS\SYSTEM\tel.lfp %1
　　[HKEY_LOCAL_MACHINE\Software\CLASSES\*\{;删除};Shell\open\command]
　　C:\WINDOWS\SYSTEM\tel.lfp %1
　　(2)
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\{;删除};durrentVersion\Run]
　　C:\WINDOWS\SYSTEM\system32.dll
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\{;删除};durrentVersion\RunServices]
　　C:\WINDOWS\SYSTEM\system32.dll
　　(3)
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　　{;删除};lfp.dll
(4)
　　[HKEY_CLASSES_ROOT\dllfile\
{;删除};shell\Open\Command]
　　"%1" %*
　　[HKEY_LOCAL_MACHINE\
Software\CLASSES\dllfile\
{;删除};shell\Open\Command]
　　"%1" %*
　　(5)
　　[HKEY_CLASSES_ROOT\
{;删除};.lfp]
　　lfpfile
　　[HKEY_LOCAL_MACHINE\
Software\CLASSES\{;删除};.lfp]
　　lfpfile
　　(6)
　　[HKEY_CLASSES_ROOT\{;删除};lfpfile]
　　http://lffffp.yeah.net
　　[HKEY_CLASSES_ROOT\{;删除};lfpfile\DefaultIcon]
　　C:\WINDOWS\SYSTEM\shell32.dll,-154
　　[HKEY_CLASSES_ROOT\{;删除};lfpfile\shell\Open\Command]
　　"%1" %*
　　[HKEY_LOCAL_MACHINE\Software\CLASSES\{;删除};lfpfile]
　　http://lffffp.yeah.net
　　[HKEY_LOCAL_MACHINE\Software\CLASSES\{;删除};lfpfile\DefaultIcon]
　　C:\WINDOWS\SYSTEM\shell32.dll,-154
　　[HKEY_LOCAL_MACHINE\Software\CLASSES\{;删除};lfpfile\shell\Open\Command]
　　"%1" %*
　　第二步，删除木马文件。
　　重新启动电脑，到纯DOS下，在C:\WINDOWS\SYSTEM文件夹下找到lfp.dll、lfp.exe、tel.lfp、system32.dll这四个文件，删之别手软！
　　5、冰河6.0手工清除方法
　　冰河6.0目前下载率非常高，由于目前的杀毒软件都查不到它，因此许多人在不知不觉中就中了木马，导致受害者非常之多，所以很有必要把它揪出来，公之于众。
　　第一步、恢复注册表
　　1).清除注册表中木马启动键值：到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run以及HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices，将默认键值
　　“C:\WINDOWS\SYSTEM\SYSDLL32.exe”删除。
2).清除注册表中被木马修改的文件关联：到
HKEY_CLASSES_ROOT\txtfile
\shell\open\command以及
KEY_LOCAL_MACHINE\Soft-
ware\CLASSES\txtfile\shell\open
\command，将默认键值由C:\
WINDOWS\SYSTEM\Sysexplr
.exe "%1"修改为NOTEPAD.
exe "%1"，这样做的目的是恢复TXT文件的打开方式：用“记事本”打开。
　　第二步、删除木马文件
　　冰河6.0会在C:\WINDOWS\SYSTEM下生成两个木马文件：SYSDLL32.exe和Sysexplr.exe，大小都是270K，图标为无关联文件所用图标。SYSDLL32.exe是守护进程，每次开机都会随之启动。Sysexplr.exe是隐藏的木马，当你打开文本文件时就会自动生成SYSDLL32.exe。如果本机内有木马文件存在，可以到纯DOS下删除它们。或者终止SYSDLL32.exe文件的进程，然后在Windows环境下删除它们。
　　6、冰河80b2版手工清除方法
　　如果你中了木马冰河80b2版，那一定是你运行了它的服务端程序，服务端程序默认的文件名为G_Server.exe，运行后会在C:\WINDOWS\SYSTEM下产生两个无文件名的木马文件“ .exe”，图标和服务端一样，是普通的DOS图标。
　　清除方法：
　　1).在“开始”菜单的“运行”中输入RGEEDIT，打开注册表；
　　2).使用进程管理软件中止木马进程“ .exe”，如果你手头上没有合适的进程管理软件，可以使用大家常用的系统优化软件Windows优化大师，它就有进程管理功能。点击“系统安全优化”→“进程管理”就可以找到该进程，然后点击“终止”即可。
　　3).到C:\WINDOWS\SYSTEM下删除木马文件“ .exe”。
　　4).删除木马的启动键值：
　　到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run下，删除：C:\WIN98\SYSTEM\ .exe
　　再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices下，删除：C:\WIN98\SYSTEM\ .exe"
　　5).恢复被木马修改的文件关联
　　冰河80b2版是文件关联木马，运行它的服务端程序后，未关联文件打开方式会被木马文件所关联，也就是说，如果你点击了系统中的任何未关联文件，就会将木马激活！所以要恢复被木马修改的文件关联。
　　到注册表HKEY_CLASSES_ROOT\*\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\*\shell\open\command下，这是未关联文件打开方式在注册表中的位置，将默认值“C:\WINDOWS\SYSTEM\ .exe %1”删除即可恢复文件关联。

　　注意，如果你的系统是WIN2000或WINXP，那么木马文件在SYSTEM32文件夹下(Win9X和Win Me下产生的木马文件在System文件夹下)，其余清除方法不变。
7、冰河拉登专版清除方法
　　冰河拉登专版是2001年9月11日美国纽约遭受袭击后出现的，故被命名为“冰河拉登专版”(图6)，也叫冰河911，它的清除方法如下：
第一步、恢复注册表
　　点击“开始”→“运行”，输入regedit打开注册表编辑器，来到注册表：
　　1).清除注册表中木马启动键值：到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices下面，将默认值"C:\WINDOWS\SYSTEM\system32.exe"删除；
　　2).恢复注册表中被木马修改的文件关联：到HKEY_CLASSES_ROOT\*\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\*\shell\open\command下，将默认值 "C:\WINDOWS\SYSTEM\tel.exe %1"删除。这是无关联文件打开方式在注册表中的位置。
　　第二步、删除木马文件
　　冰河9.11会在C:\windows\system下生成两个木马文件：system32.exe和tel.exe，它们用的都是QQ小企鹅图标，文件大小都为278528字节，文件修改时间为2001年10月1日。system32.exe每次开机都会随系统启动运行，tel.exe是隐藏的木马，当你打开无关联文件时就会自动生成system32.exe。删除它们的方法是到纯DOS下删除它们。