File: ielp.exe
Size: 72192 bytes
MD5: 68C0A8E8548CBE955C933B620C828016
SHA1: 94BC760FD44F0372D9881CE1A90012374F4463B9
CRC32: 8F4F4076
加壳方式 ASpack

运行后文件变化
各个分区生成autorun.inf 和ielp.exe
右键菜单无变化

修改系统时间为2005年1月17日0：00
注册表变化
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
破坏显示隐藏文件 使得

连接网络下载木马
读取http://www.jh177.cn/googel.txt等下载列表文件
与%system32%\iehelp.ini进行同步
下载列表中的木马文件到%system32%下 分别命名为ie_help0.exe~ie_help2.exe

木马植入完毕以后生成如下文件
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程守护

对应的sreng日志如下
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <shell><Explorer.exe C:\WINDOWS\system32\EXPL0RER.EXE>    []
服务
[Windows Aseounts Driver / windownhp][Running/Auto Start]
    <C:\WINDOWS\system32\ie_help1.exe><N/A>
[HTTP Client / HTTP Client][Running/Auto Start]
    <C:\WINDOWS\system32\svchcst.exe><N/A>
[Automatic Updates / wuauserv][Running/Auto Start]
    <C:\WINDOWS\system32\drivers\svchost.exe><N/A>

清除办法：
1.打开sreng
启动项目    注册表 删除如下项目
双击shell 把其键值改为Explorer.exe
2.重启计算机进入安全模式

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入
3.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入系统所在盘
删除如下文件
ielp.exe
autorun.inf
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
从左边的资源管理器 进入其他盘
删除ielp.exe和autorun.inf