主题：【求助】中毒了 -- 大明湖

前两天升级IE的时候，不慎感染了病毒。上网查了一下，办法不多。望河里的兄弟姐妹指点。

症状：间隔不长时间，IE自动开启，链接到某些无聊网站；每次开机进程中总是出现107up.exe；注册表中，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 总是存在 Winstar,键值IEXPL0ER.EXE，注意是零，不是o。即使删除，只要再回到目录，键始终存在。

网上查询的结果：

107up.exe 为代理木马下载器变种EEL(Trojan-Downloader.Win32.Agent.eel)”和“哈克斯间谍变种D。据瑞星全球反病毒代理下载器TrojanWin32Agent间谍TrojanSpy.Win32.Haxspy.d)”病毒。“代理木马下载器变种 EEL”是木马下载程序，它会下载指定网址木马病毒账号密码黑客信箱IE “代理木马下载器变种EEL(Trojan-Downloader.Win32.Agent网络传播WIN9XNT2000/XP 病毒运行后将自己安装到系统目录exe系统配置文件SYSTEM.INI开机自动运行文本文件木马程序 “哈克斯间谍变种D(Trojan-Spy.Win32.Haxspy.d)”病毒:警惕程度★★★，木马病毒，通过网络传播，依赖系统: WIN9X/NT/2000/XP 病毒是一个动态库，需要利用其他的病毒程序释放才能运行。病毒运行后会在后台隐藏Explorer 反病毒专家关闭或删除系统中不需要的服务;很多病毒利用漏洞传播，一定要及时给系统打补丁;安装专业的防毒软件实时监控病毒软件。

请不吝赐教!!!诚谢

searth“107up.exe”，删除所有找到的键值。然后删除文件

C:\Program Files\107up.exe

删除与107up.exe或者Winstar相关的键值，或者在注册表中以Winstar、IEXPL0（注意是零，不是o）ER.EXE为关键字搜索。

重新打开注册表的时候，winstar还是老样子，唉...

把报告贴上来，才好想办法，很难描述清楚的。

然后删文件，改注册表。

怎么进安全模式？这里：

http://service1.symantec.com/SUPPORT/INTER/simplifiedchinesekb.nsf/cn_docid/20020517102559931

到网上搜个Sreng.exe扫描一下，或者使用processexplorer.exe查看进程，或者像楼上兄弟说的用hijackthis扫一把，然后发报告大家一起分析。如果病毒动态库在explorer.exe中，这个时候要杀掉explorer.exe，在命令行或者使用IeceSword.exe工具去干掉病毒文件和动态库

用FF好了，我前几天中的木马也是头痛了几天，不过我尽量不去运行IE，破病毒会自动添加他们的网址进IE的收藏夹，我的Maxthon同样如此，只有FF病毒没有光顾，你要是继续用IE，一不留神哪天点开那个藏收藏夹里的玩意，又得中招。

你用瑞星查得到，按道理就该可以用瑞星杀掉。

最终安全模式下运行自动恢复，一切恢复