阿凡達的琴棋書畫

    我每次要開三國志11來玩都會先ctrl+alt+del將一些沒在使用的程式關閉，尤其是powerpro，但剛剛在工作管理員發現佔了21108k記憶體的iexplorer程序，而且竟然無法關閉，當時我沒在瀏覽網站也沒開IE，就覺得奇怪，上網google查詢該程序，才赫然發現這是一個「至少超過十家知名防毒軟體，包含卡巴斯基、賣咖啡、貓熊、趨勢、賽門鐵客、瑞星、江民.......等等」都找不到的後門程序。

    以下是轉貼自網路的解決方法：
一、先在工作管理員中把 iexplorer.exe 結束(這個我就無法結束= =)。

二、主程式的位置（直接刪了它，注意檔名是小寫，大寫的 IEXPLORER.exe 是原本的 IE，不要刪）
C:\Program Files\Internet Explorer\iexplorer.exe
大小：76.0 KB (77,824 位元組)
修改日期：2005年9月18日, 下午 01:24:35

三、iexplorer.exe 的雙胞胎兄弟（也是直接刪了它。注意！這個檔案是重點，iexplorer.exe 能起死回生就靠它，把所有的關連檔全殺了，但這個沒殺，重開機後，一切還是照舊！白做了！）
C:\WINDOWS\AutoUpdate.exe
大小：76.0 KB (77,824 位元組)
修改日期：2005年9月18日, 下午 01:24:35

四、其他一些關連的檔案（一個不留，全部都刪除！，檔案的位置，有時會跑到 C:\WINDOWS\ 下，所以最好都檢查看看！）
C:\WINDOWS\system32\twunk_36.exe
大小：87.7 KB (89,834 位元組)
修改日期：2005年9月22日, 下午 11:08:46

C:\WINDOWS\system32\SysPr.prx
大小：45.6 KB (46,758 位元組)
修改日期：2005年9月23日, 下午 08:06:07

C:\WINDOWS\system32\plugin1.dat
大小：50.5 KB (51,733 位元組)
修改日期：2005年9月30日, 下午 09:27:30

五、twunk_36.exe 的孿生兄弟（也要砍了！在清除檢查的過程中，這小子被發現換了位置、改了名字，又重生了！）
C:\WINDOWS\twunk_236.exe
大小：87.7 KB (89,834 位元組)
修改日期：2005年9月22日, 下午 11:08:46

六、另外兩個可疑的檔案（應該和 twunk_36.exe
、twunk_236.exe也是孿生兄弟，但日期、時間不同！）
C:\WINDOWS\unin08.exe
大小：87.7 KB (89,834 位元組)
修改日期：2005年10月3日, 下午 10:33:22

C:\WINDOWS\unin08095.exe
大小：87.7 KB (89,834 位元組)
修改日期：2005年10月3日, 下午 10:33:22

七、隱藏在登錄檔中的機碼（左方的機碼 {C5CDF7EC-..........} 不一定一樣，所以要一項一項點進去觀察右邊的登錄值，找到後，直接把他刪了！）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C5CDF7EC-751B-46aa-AD69-4005FE080DE8}]
"stubpath"=C:\WINDOWS\system32\twunk_36.exe

登錄值也有可能是 twunk_236.exe、unin08.exe、unin08095.exe 其中一個！

2005/10/23 補充：
一、C:\WINDOWS\AutoUpdate.exe 在登錄檔的：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中啟動

二、應該有兩組木馬，C:\Program Files\Internet Explorer\中小寫的iexplorer.exe和C:\WINDOWS\AutoUpdate.exe是一組，隱藏在在登錄檔中的Run之下啟動！

三、其餘的檔案是另外一組，利用正常的IEXPLORER.EXE作為宿主，隱藏在登錄檔中的Installed Components之下啟動！