杀木马的后遗症通常有哪些？

当心木马后遗症

通过媒体的广泛宣传报道，使我们知道了木马的危害性，一个功能强大的木马一旦被植入你的机器，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的所有操作。其实，木马的危害不仅如此，部分木马如文件关联木马，还有其它“副”作用——更改文件关联！特别是手工清除木马后，如果不恢复文件关联，则被关联文件无法打开，许多操作因此不能进行，你说气人不气人？

一、基本概念
1.什么是文件关联
简单地说，就是单击不同类型文件时，在鼠标右键菜单上看到的关联项目。对于已注册的文件，会以不同的图标显示它们，双击它时会启动不同的关联程序，而所有这些设置信息都存放在注册表中，因此，只要掌握其基本结构和各键值项的设置，就能随心所欲地定义文件关联了。
2.文件关联木马
一般木马服务端会把自己复制为两个文件，这里我把文件名定为1号和2号，1号文件是用来当机器开机时立刻运行打开连接端口的，2号文件一般就和TXT或EXE文件打开方式连起来(即关联)！当中木马者发现自己中了木马而在DOS下把1号文件删除后，服务端就暂时被关闭，即木马暂时删除，当他运行“记事本”或任何EXE文件时，隐蔽的2号木马文件被击活再次生成1号文件，即木马又被种入！

二、具体实例分析（我们以大名鼎鼎的木马冰河为例）
冰河就是典型的文件关联木马，只要在配置木马时选中关联文本文档（如图），以后打开文本文档，不是用记事本Notepad.exe打开，而是调用冰河的服务端程序打开，这样木马就被加载运行了（潘多拉的盒子打开了）。如果服务端程序被您手工删除了，在打开文件文档时由于无法找到该程序导致文件无法打开。
如果中了冰河，为了达到自动装载服务端的目的，首先，冰河会在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE键值中加上kernl32.exe（“”是系统目录），以便电脑每次启动时加载运行木马（幽灵又出现了……）；其次，如果你删除了这个键值，自以为得意地喝著茶的时候，冰河又阴魂不散地出现了！怎么回事？原来冰河的服务端会在c:windows下生成一个叫sysexplr.ex