刚刚看到阳光（newcenturymoon）提到最近的lfrmewrk.exe，hbcmd.dll的情况，但是由于没能实机测试，处理效果不尽如人意。由于自己之前在同学的电脑中亲自查杀过它的较早版本mshtmlsed.exe，helpIE.dll，故此简要分析一下这个较早版本的查杀过程，希望对现在的这个变种的查杀有所启发。

编写语言：Visual C++

创建文件：
C:\WINDOWS\system32\mshtmlsed.exe
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\HelpIE.dll
C:\WINDOWS\systew32\player.dll
C:\WINDOWS\system32\usb8028.sys
C:\WINDOWS\system32\usb8028x.sys
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk（指向MSRundll.exe）

创建注册表项（SREng日志可见）：

启动文件夹：
[ruango]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk --> C:\WINDOWS\system32\MSRundll.exe [N/A]><N>

服务：
[Cryptographic Server / CryptographicServer][Running/Auto Start]
<C:\WINDOWS\system32\mshtmlsed.exe><N/A>

驱动程序：
[usb8028 / usb8028][Running/System Start]
<system32\drivers\usb8028.sys><Microsoft Corporation>
[usb8028x / usb8028x][Running/System Start]
<system32\drivers\usb8028x.sys><Windows System Internal>

浏览器加载项：
[HelpIE Class]
{589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, TODO: <公司名>>

进程：
C:\WINDOWS\system32\mshtmlsed.exe
C:\WINDOWS\system32\MSRundll.exe

C:\WINDOWS\system32\HelpIE.dll插入explorer.exe和IE进程。

处理难点：
由于有两个驱动进行保护：
其他的exe和dll文件，即使结束进程及卸除dll模块后，直接删除后，马上被重新创建
C:\WINDOWS\system32\HelpIE.dll的BHO项目注册表，删除后马上重建
mshtmlsed.exe的服务项，删除后重启之后重建。
usb8028.sys和usb8028x.sys，用IceSword强制删除仍删除不了。
处理方法：

安全模式下
用IceSword删除
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk
（如用资源管理器删除，则会马上重建，但是用IceSword的“文件”删除，则不会马上重建）

用IceSword展开“注册表”：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除CryptographicServer、usb8028、usb8028x
（注意只能用IceSword而不能用SREng，因为SREng对服务的处理方式是重启后生效的）
这三个项目删除之后，并不马上重建。
其他exe、dll文件，以及BHO项目注册表，即使用IceSword删除，还是会马上重建。
且关机时两个驱动很可能会从内存重新写入注册表驱动项

所以删除完服务项和驱动项之后，直接按reset键断电重启，或者直接用IceSword的“重启并监视”来重启，而不要用开始菜单的“关闭计算机”。

重启后仍进入安全模式
删除BHO项目
删除以上提到的病毒文件（只须从资源管理器中删除）