一旦運(yùn)行G-server，那么該程序就會(huì)在C：\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會(huì)被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

  要清除冰河，首先要?jiǎng)h除C：\Windows\system下的Kernel32.exe和Sysexplr.exe文件；冰河會(huì)在注冊(cè)表的HKEY_LOCAL_MACHINE\ software\ microsoft\ Windows\CurrentVersion\Run分支下扎根，鍵值為C：\Windows\system\Kernel32. exe，刪除它。在注冊(cè)表的

HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Runservices

分支下，還有鍵值為C：\Windows\system\ Kernel32.exe的，也要?jiǎng)h除。

  最后，恢復(fù)注冊(cè)表中的TXT文件關(guān)聯(lián)功能，只要將注冊(cè)表的

HKEY_CLASSES_ROOT\txtfile\ shell\open\command

下的默認(rèn)值，由中木馬后的C：\Windows\system\ Sysexplr.exe %1改為正常情況下的C：\Windows\ notepad.exe %1即可.