File: ie7.exe
　　Size: 37376 bytes
　　MD5: FA931258C1FEFA770EB91A5EB6CA894D
　　SHA1: 72EC4D4A8E9D15C1DEAF6FCE6F2C8867C6A38F41
　　CRC32: 04DC6B68
　　编写语言：Delphi

　　病毒运行后
　　生成如下文件
　　C:\WINDOWS\system32\ie7.exe
　　同时注册为服务：ie7 ，达到开机启动的目的
　　服务描述：为即插即用设备提供支持
　　显示名称：Telepho
　　启动类型：自动

　　启动一个svchost.exe 将自身注入到svchost.exe的进程空间中（方便下载木马，因为svchost.exe一般就是需要联网的，通过他联网，防火墙不会有任何反映）

　　试图向瑞星的卡卡上网助手的IE防漏墙发送模拟按键“允许”的命令
　　试图向IE执行保护的窗口发送模拟按键“允许执行”的命令

　　ping 127.0.0.0 15次
　　修改系统时间为 1981年1月12日

　　在每个分区下生成一个autorun.inf和ie7.exe

　　下载木马:http://ads.xxxxxxx.com/100.exe~119.exe到%system32%下面

　　下载的木马种类和上回分析的pegefile.pif几乎一样
　　木马植入完毕后 生成如下一些文件（包括但不限于）

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys（盗号木马，并在E盘下生成Autorun.exe） C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao C:\WINDOWS\system32\drivers\usbinte.sys C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\ejcepm.dll C:\WINDOWS\system32\ezdngw.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\kwuppx.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\system32\MSDEG32.DLL C:\WINDOWS\upxdnd.exe C:\WINDOWS\winow.dll C:\WINDOWS\winow.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\pfmlqz.dll C:\WINDOWS\system32\skguud.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\visin.exe C:\WINDOWS\system32\xzqsmg.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\RichDll.dll C:\WINDOWS\TIMHost.exe C:\WINDOWS\system32\nslkupi.exe（具备arp欺骗功能） C:\WINDOWS\uninstall\rundl132.exe（威金，感染可执行文件） C:\WINDOWS\system32\ntsokele.exe（感染htm asp html等文件，在其后面加入的代码）

...
　　对应sreng(该软件可到down.45its.com下载)日志如下

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]     <TIMHost><C:\WINDOWS\TIMHost.exe>    []       <upxdnd><C:\WINDOWS\upxdnd.exe>    []       <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []       <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []       <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>    []       <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []       <load><C:\WINDOWS\uninstall\rundl132.exe>    [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]       <MSDEG32><LYLoader.exe>    []       <MSDWG32><LYLoadbr.exe>    [N/A]       <MSDCG32      ><LYLeador.exe>    [N/A]       <MSDOG32><LYLoador.exe>    [N/A]       <MSDSG32><LYLoadar.exe>    [N/A]       <MSDMG32><LYLoadmr.exe>    [N/A]       <MSDHG32><LYLoadhr.exe>    [N/A]       <MSDQG32><LYLoadqr.exe>    [N/A]       <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]       <{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>    [] 服务： [Telepho / ie7][Stopped/Auto Start]     <C:\WINDOWS\system32\ie7.exe><N/A> [Remote Help Session Manager / Rasautol][Stopped/Auto Start]     <C:\WINDOWS\system32\ntsokele.exe><N/A>

　　手动清除办法：

　　重启计算机进入安全模式下(开机后不断 按F8键    然后出来一个高级菜单 选择第一项 安全模式 进入系统)

　　打开sreng （推荐到down.45its.com下载）

　　启动项目    注册表 删除如下项目 
  <TIMHost><C:\WINDOWS\TIMHost.exe>    []
      <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <AVPSrv><C:\WINDOWS\AVPSrv.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <NVDispDrv><C:\WINDOWS\NVDispDrv.exe>    []
      <Kvsc3><C:\WINDOWS\Kvsc3.exe>    []
      <load><C:\WINDOWS\uninstall\rundl132.exe>    []
<MSDEG32><LYLoader.exe>    []
      <MSDWG32><LYLoadbr.exe>    [N/A]
      <MSDCG32      ><LYLeador.exe>    [N/A]
      <MSDOG32><LYLoador.exe>    [N/A]
      <MSDSG32><LYLoadar.exe>    [N/A]
      <MSDMG32><LYLoadmr.exe>    [N/A]
      <MSDHG32><LYLoadhr.exe>    [N/A]
      <MSDQG32><LYLoadqr.exe>    [N/A]
      <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation]

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Telepho / ie7
Remote Help Session Manager / Rasautol

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
　　点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）
　　从左边的资源管理器 进入C盘
　　删除如下文件(如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删除)：

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Tao C:\WINDOWS\system32\drivers\usbinte.sys C:\WINDOWS\system32\AVPSrv.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\ejcepm.dll C:\WINDOWS\system32\ezdngw.dll C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\kwuppx.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\system32\MSDEG32.DLL C:\WINDOWS\upxdnd.exe C:\WINDOWS\winow.dll C:\WINDOWS\winow.exe C:\WINDOWS\system32\NVDispDrv.dll C:\WINDOWS\system32\pfmlqz.dll C:\WINDOWS\system32\skguud.dll C:\WINDOWS\system32\TIMHost.dll C:\WINDOWS\system32\upxdnd.dll C:\WINDOWS\system32\visin.exe C:\WINDOWS\system32\xzqsmg.dll C:\WINDOWS\AVPSrv.exe C:\WINDOWS\cmdbcs.exe C:\WINDOWS\Kvsc3.exe C:\WINDOWS\NVDispDrv.exe C:\WINDOWS\RichDll.dll C:\WINDOWS\TIMHost.exe C:\WINDOWS\system32\nslkupi.exe C:\WINDOWS\uninstall\rundl132.exe C:\WINDOWS\system32\ntsokele.exe C:\ie7.exe C:\autorun.inf

　　从左边的资源管理器 进入其他盘
　　删除ie7.exe autorun.inf 删除E盘下的autorun.exe
　　如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe