ielp.exe U盘病毒详细介绍
运行后文件变化
各个分区生成autorun.inf 和ielp.exe
修改系统时间为2005年1月17日0:00
注册表变化
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
破坏显示隐藏文件
连接网络下载木马
读取http://www.jh177.cn/googel.txt等下载列表文件
与%system32%\iehelp.ini进行同步
下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe
木马植入完毕以后生成如下文件
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程保护
对应的sreng日志如下
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
服务
[Windows Aseounts Driver / windownhp][Running/Auto Start]
[HTTP Client / HTTP Client][Running/Auto Start]
[Automatic Updates / wuauserv][Running/Auto Start]
清除办法:
1.打开sreng
启动项目 注册表 删除如下项目
双击shell 把其键值改为Explorer.exe
2.重启计算机进入安全模式
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这.个注册表项导入
3.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏.文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入系统所在盘
删除如下文件
ielp.exe
autorun.inf
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
从左边的资源管理器 进入其他盘
删除ielp.exe和autorun.inf即可!