电脑运行时经常出现sysexplr.exe 应用程序错误,提示应用程序正常初始化(oxc0000005)失败,请单击“确定”终止应用程序的字样。随后就会经常出现“Kernel32.exe运行错误”,有时候没运行任何程序时也会这样。已经用杀毒软件检查,但是没什么效果。
从以上描述的现象来看,应该是中了冰河木马程序。冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626。一旦运行G-server,那么该程序就会在C:/Windows/system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。
即使删除了Kernel32.exe,但只要打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
建议进入安全模式,然后在“我的电脑”查找Kernel32.exe和Sysexplr.exe文件,并把它们删除。随后在开始运行菜单中输入“Regedit”进入注册表编辑器,依次展开到MACHINE\software\microsoft\windows\ CurrentVersion\Runservices分支下,将其所有内容删除。最后,修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\ command下的默认值,将现有的“C:\windows\system\Sysexplr.exe %1”改为正常的“C:\windows\notepad.exe %1”。
