ielp.exe U盘病毒详细介绍

运行后文件变化
各个分区生成autorun.inf 和ielp.exe

修改系统时间为2005年1月17日0：00
注册表变化
修改HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue值为 0x00000001
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLType:值为"radio2"
破坏显示隐藏文件

连接网络下载木马
读取http://www.jh177.cn/googel.txt等下载列表文件
与%system32%iehelp.ini进行同步
下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe

木马植入完毕以后生成如下文件
%system32%driverssvchost.exe
%system32%EXPL0RER.EXE
%system32%iehelp.ini
%system32%ie_help0.exe
%system32%ie_help1.exe
%system32%ie_help2.exe
%system32%SVCH0ST.EXE
%system32%svchcst.exe
其中%system32%SVCH0ST.EXE和%system32%EXPL0RER.EXE双进程保护

对应的sreng日志如下
启动项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
服务
[Windows Aseounts Driver / windownhp][Running/Auto Start]

[HTTP Client / HTTP Client][Running/Auto Start]

[Automatic Updates / wuauserv][Running/Auto Start]

清除办法：

1.打开sreng
启动项目 注册表 删除如下项目
双击shell 把其键值改为Explorer.exe

2.重启计算机进入安全模式

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这.个注册表项导入

3.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏.文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入系统所在盘
删除如下文件
ielp.exe
autorun.inf
%system32%driverssvchost.exe
%system32%EXPL0RER.EXE
%system32%iehelp.ini
%system32%ie_help0.exe
%system32%ie_help1.exe
%system32%ie_help2.exe
%system32%SVCH0ST.EXE
%system32%svchcst.exe
从左边的资源管理器 进入其他盘
删除ielp.exe和autorun.inf即可！