ielp.exe U盤病毒詳細介紹

運行后文件變化
各個分區(qū)生成autorun.inf 和ielp.exe

修改系統(tǒng)時間為2005年1月17日0：00
注冊表變化
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue值為 0x00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLType:值為"radio2"
破壞顯示隱藏文件

連接網(wǎng)絡(luò)下載木馬
讀取http://www.jh177.cn/googel.txt等下載列表文件
與%system32%iehelp.ini進行同步
下載列表中的木馬文件到%system32%下分別命名為ie_help0.exe~ie_help2.exe

木馬植入完畢以后生成如下文件
%system32%driverssvchost.exe
%system32%EXPL0RER.EXE
%system32%iehelp.ini
%system32%ie_help0.exe
%system32%ie_help1.exe
%system32%ie_help2.exe
%system32%SVCH0ST.EXE
%system32%svchcst.exe
其中%system32%SVCH0ST.EXE和%system32%EXPL0RER.EXE雙進程保護

對應(yīng)的sreng日志如下
啟動項目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
服務(wù)
[Windows Aseounts Driver / windownhp][Running/Auto Start]

[HTTP Client / HTTP Client][Running/Auto Start]

[Automatic Updates / wuauserv][Running/Auto Start]

清除辦法：

1.打開sreng
啟動項目 注冊表 刪除如下項目
雙擊shell 把其鍵值改為Explorer.exe

2.重啟計算機進入安全模式

把下面的代碼拷入記事本中然后另存為1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

雙擊1.reg把這.個注冊表項導入

3.雙擊我的電腦，工具，文件夾選項，查看，單擊選取"顯示隱藏.文件或文件夾" 并清除"隱藏受保護的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時，單擊“是” 然后確定
點擊 菜單欄下方的 文件夾按鈕（搜索右邊的按鈕）
從左邊的資源管理器 進入系統(tǒng)所在盤
刪除如下文件
ielp.exe
autorun.inf
%system32%driverssvchost.exe
%system32%EXPL0RER.EXE
%system32%iehelp.ini
%system32%ie_help0.exe
%system32%ie_help1.exe
%system32%ie_help2.exe
%system32%SVCH0ST.EXE
%system32%svchcst.exe
從左邊的資源管理器 進入其他盤
刪除ielp.exe和autorun.inf即可！