一旦運行G-server，那么該程序就會在C：\Windows\system目錄下生成Kernel32.exe和sysexplr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動時自動加載運行，sysexplr.exe和TXT文件關(guān)聯(lián)。即使你刪除了Kernel32.exe，但只要你打開TXT文件，sysexplr.exe就會被激活，它將再次生成Kernel32.exe，于是冰河又回來了！這就是冰河屢刪不止的原因。

  要清除冰河，首先要刪除C：\Windows\system下的Kernel32.exe和Sysexplr.exe文件；冰河會在注冊表的HKEY_LOCAL_MACHINE\ software\ microsoft\ Windows\CurrentVersion\Run分支下扎根，鍵值為C：\Windows\system\Kernel32. exe，刪除它。在注冊表的

HKEY_LOCAL_ MACHINE\ software\microsoft\Windows\Current Version\Runservices

分支下，還有鍵值為C：\Windows\system\ Kernel32.exe的，也要刪除。

  最后，恢復(fù)注冊表中的TXT文件關(guān)聯(lián)功能，只要將注冊表的

HKEY_CLASSES_ROOT\txtfile\ shell\open\command

下的默認值，由中木馬后的C：\Windows\system\ Sysexplr.exe %1改為正常情況下的C：\Windows\ notepad.exe %1即可.