手工清除冰河病毒的方法

（1）打开注册表Regedit，在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run查找以下的两个路径，并删除“C:/Windows/system/sysexplr.exe”.

　　（2）关闭Regedit，重新启动到MSDOS方式。

　　（3）删除C:/Windows/system/kernel32.exe和C:/Windows/system/sysexplr.exe

　　清除冰河v2.2以上版本方法是：

　　（1）服务器程序、路径用户是可以随意定义的，写入注册表键名也可以自己定义。HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Servises/W3SVC/Parameters/VirtualRoots/的Scripts键值：，，217改为，，201；这个键默认就是被打开的，不过如果没有特别需要的话，可以关闭，因为很多漏洞都是利用了这个虚拟目录下文件被攻击的。

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/VirtualRoots/的msadc键值：，，217改为，，201。

　　（2）将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/VirtualRoots/c键值：c://,,217删除（它将本地硬盘中的C盘在Web中共享为c）；

　　将

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W3SVC/Parameters/VirtualRoots/d键值：d://,,217删除（它将本地硬盘中的C盘在Web中共享为d）；

　　如果不删除注册表中的以上键，中毒服务器的本地硬盘C、D将被完全控制。

　　（3）重启系统，以确保CodeRed被彻底清楚。