一、直接修复法

　　以著名的“冰河”木马为例，该木马除了通过自启动键值来运行外，还更改了TXT文档的打开方式（将[HKEY_CLASSES_ROOT xtfileshellopencommand]键值修改为“C:WINDOWSSystem32Sysexplr.exe %1”），以此达到再次启动的目的。

　　1.检测：“冰河”更改TXT文档打开方式后，用户仍然可以打开文档，察觉不到关联已经被修改，所以具有极大迷惑性。但再狡猾的狐狸也难隐藏它的尾巴，对于这类更改文件关联木马，在打开关联文档的时候，它的进程都会出现在进程列表中，用户通过新增的进程可以判断出文件关联是否被更改。在终止木马进程的前提下，打开任务管理器，双击TXT文档后，可以发现系统新增2个进程“notepad.exe”和“kernel32.exe”，其中“kernel32.exe”就是“冰河”进程。

　　小技巧：借助“System Information Collect Tool ”（http://nj.onlinedown.net/soft/39719.htm）这款免费软件，可以快速检测到重要的文件关联是否被更改。运行该程序后，勾选“文件关联”，然后单击“开始”就可以看到结果（如图1）。