File: ielp.exe
　　Size: 72192 bytes
　　MD5: 68C0A8E8548CBE955C933B620C828016
　　SHA1: 94BC760FD44F0372D9881CE1A90012374F4463B9
　　CRC32: 8F4F4076
　　加壳方式 ASpack

　　运行后文件变化
　　各个分区生成autorun.inf 和ielp.exe
　　右键菜单无变化

　　修改系统时间为2005年1月17日0：00
　　注册表变化
　　修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
　　破坏显示隐藏文件

　　连接网络下载木马
　　读取hxxp://www.jh177.cn/googel.txt等下载列表文件
　　与%system32%\iehelp.ini进行同步
　　下载列表中的木马文件到%system32%下 分别命名为ie_help0.exe~ie_help2.exe

　　木马植入完毕以后生成如下文件
　　%system32%\drivers\svchost.exe
　　%system32%\EXPL0RER.EXE
　　%system32%\iehelp.ini
　　%system32%\ie_help0.exe
　　%system32%\ie_help1.exe
　　%system32%\ie_help2.exe
　　%system32%\SVCH0ST.EXE
　　%system32%\svchcst.exe
　　其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程守护

　　对应的sreng日志如下
　　启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      <shell><Explorer.exe C:\WINDOWS\system32\EXPL0RER.EXE>    []
　　服务
[Windows Aseounts Driver / windownhp][Running/Auto Start]
    <C:\WINDOWS\system32\ie_help1.exe><N/A>
[HTTP Client / HTTP Client][Running/Auto Start]
    <C:\WINDOWS\system32\svchcst.exe><N/A>
[Automatic Updates / wuauserv][Running/Auto Start]
    <C:\WINDOWS\system32\drivers\svchost.exe><N/A>

　　清除办法（解决办法）：

　　1.打开sreng（可到down.45it.com下载）

　　打开SREng－启动项目－注册表删除如下项目：

　　双击shell 把其键值改为Explorer.exe

　　2.重启计算机进入安全模式（重启系统长按F8直到出现提示，然后选择进入安全模）

　　把下面的代码拷入记事本中然后另存为1.reg文件

　　双击1.reg把这个注册表项导入

　　3.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，点击    菜单栏下方的 文件夹按钮（搜索右边的按钮），从左边的资源管理器 进入系统所在盘

　　删除如下文件（如遇提示无法删除文件，到down.45it.com下载费尔木马强制删除器工具进行强制删除）
　　ielp.exe
　　autorun.inf
　　%system32%\drivers\svchost.exe
　　%system32%\EXPL0RER.EXE
　　%system32%\iehelp.ini
　　%system32%\ie_help0.exe
　　%system32%\ie_help1.exe
　　%system32%\ie_help2.exe
　　%system32%\SVCH0ST.EXE
　　%system32%\svchcst.exe

　　从左边的资源管理器 进入其他盘
　　删除ielp.exe和autorun.inf