手工清除冰河病毒的方法

清除冰河1.1方法是：

（1）打开注册表Regedit，在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run查找以下的两个路径，并删除“C:/Windows/system/sysexplr.exe”.

（2）关闭Regedit，重新启动到MSDOS方式。

（3）删除C:/Windows/system/kernel32.exe和C:/Windows/system/sysexplr.exe

清除冰河v2.2以上版本方法是：

（1）服务器程序、路径用户是可以随意定义的，写入注册表键名也可以自己定义。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Servises/W3SVC/Parameters/Virtual Roots/的Scripts键值：，，217改为，，201；这个键默认就是被打开的，不过如果没有特别需要的话，可以关闭，因为很多漏洞都是利用了这个虚拟目录下文件被攻击的。

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/的msadc键值：，，217改为，，201。

（2）将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/c键值：c://,,217删除（它将本地硬盘中的C盘在Web中共享为c）；

将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/Virtual Roots/d键值：d://,,217删除（它将本地硬盘中的C盘在Web中共享为d）；

如果不删除注册表中的以上键，中毒服务器的本地硬盘C、D将被完全控制。

（3）重启系统，以确保CodeRed被彻底清楚。