IE.exe

病毒基本信息进程文件： ie 或 ie.exe

进程位置： windir

程序名称： W32/Sdbot-VS或Trojan.Win32.LaSta

程序用途： IPC后门，网络蠕虫木马病毒

程序作者：

系统进程： 否

后台程序： 是

使用网络： 是

硬件相关： 否

安全等级： 低

进程分析： 该病毒打开后门连接IRC服务器，恶意攻击者实现远程控制。该病毒修改注册表创建Run/ie.exe项实现自启动，或者修改注册表创建系统服务ie实现自启动。病毒执行文件包括：counter.exe，p4.exe。

该病毒（Trojan.Win32.Lasta）利用了某系统保护和还原软件的漏洞，当用户使用这类保护软件进行系统恢复时，并不能将该病毒恢复掉，而下次用户以为系统是干净的要再次保护时，该病毒就会被做为正常的程序进行保护。这样一来，该病毒就相当于多了一个保护膜，更加难以清除了。

如果使用过还原精灵,要特别注意.

推荐查杀方式可以下载软件：“AVG Anti-Spyware7.5.0.50”（原名ewido） —— 极致安全 完美防护，针对因特网上传播的新一代安全威胁的有效解决方案。确保您的数据安全，保护您的隐私，抵御间谍软件、广告软件、木马、拨号程序、键盘记录程序和蠕虫的威胁。在易于使用的界面之下，我们为您提供了高级的扫描和探测方式以及时下最尖端的技术。反病毒程序只能提供针对危急爆发的威胁如木马、蠕虫、拨号程序、劫持程序、间谍软件和键盘记录程序的有限的保护，而AVG Anti-Spyware在电脑上已经安装的其它安全软件基础上，补充为一个完整的安全系统。plus版本能实时监测整个系统运行，监测内存，内核自保护，在线升级等。程序可识别并清除574,938种不同的黑客程序、木马程序、蠕虫程序、Dialers程序等! 全面保护你的网络安全!

http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1237123里有AVG AntiSpyware(原Ewido),世界顶级杀马软件,附破解补丁和汉化补丁.

安装后首先升级

将“扫描器”-“设置”中“如何操作”设置为“删除”

然后执行全面扫描 即可

对扫描结果点“应用所有操作”即可全部删除。

还有一种办法：

1、病毒文件及手动修复

C:WINDOWSsystem32CTFMON.EXE 已被病毒替换删除之

C:WINDOWSsystem32Comie.exe 正常的CTFMONEXE程序改名成ctfmon.exe后复制到SYSTEM32目录下

W32Time服务被病毒替换文件以随机命名，设置为禁用或直接删除对应的DLL删除

O30 - 未知 - HKLM..Winlogon: [] C:WINDOWSsystem32sovhst.exe该项被修改，用SRENG修复即可(这项在有的报告里没有发现)

2、自动杀毒BAT内容如下：（附件中有下载后直接运行后重启即可杀此毒，W32TIME服务无法修复）

@echo off

del %windir%system32ctfmon.xxx

taskkill /f /im ctfmon.exe

ren %windir%system32ctfmon.exe ctfmon.xxx

copy /y %windir%system32comie.exe %windir%system32ctfmon.exe

sc config w32time start= "disabled"

sc stop w32time

reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon" /v Userinit /d "%windir%system32userinit.exe," /f