[转载]链接ent.myrice.com等站恶意程序的清除方法

信息来源：搜毒网

　最近上网我的IE出现了一个奇怪的现象，当打开IE空白页后，提示网页有错误（IE的左下角提示），用软件监测自动连接61.152.104.164（可以用最新的木马克星检测到，大家也可以用防火墙检测）当浏览网站时，网页全部打开后隔1－2秒就自动链接下面的网站
http://flack.mp3cool.net
http://ent.myrice.com
http://photo.myrice.com
http://www.taobao.com
http://soccer.myrice.com
http://61.129.69.225
http://sms1.ctn.com.cn
http://coenter.lycos.com.cn
不定期的访问
http://open.wz101.net
　从这些站内连接了大量的广告垃圾，弹出窗口，如果你用3721助手禁止了弹出窗口，那么这些信息会大量塞到你的IE临时文件夹下，每浏览一次网站就有一次，一方面占用的的网络资源还会塞满你的硬盘。同时还会提示你是否把myrice的站添加在收藏夹中。
经过我们详细的检查发现这是个伪装很隐蔽的恶意木马程序，网站利用他来做大量的广告宣传，其实对上网的朋友们来说是很可恶的，利用常规的恶意程序清除的方法是解决不了的。

原理：
　1、该程序是利用安装一个Alexa bar(www.alexa.com)做为隐蔽，并且在你的IE上部出现一个Alexa bar，如果你禁止了第三方的BAR就看不到。如下图：



　2、打开IE如果是空白页会调用res://alxtb1.dll/chtml/bootstrap.html，同时连接61.152.104.164
　3、浏览网页后会自动连接到http://flack.mp3cool.net，通过这个站连接http://ent.myrice.com，http://photo.myrice.com等站，而在这些站中有连接到http://www.taobao.com的代码。

解决方法：
　1、首先关闭掉所有打开的IE
　2、利用搜索功能查找alx*.dll alexa.dll alxtb1.dll文件，一般在windows\system32\目录下，全部删除。
　3、查找windows\system32\dotnetlib.dll font.dll文件，全部删除。
　4、搜索删除注册表中所有包含 font.dll、dotnetlib.dll
　5、删除注册表中 EntryKey: { 3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B }
　6、搜索注册表与alexa有关的键和内容，删除。
　7、如果遇到不能删除的可以在安全模式下删除。
　8、用木马克星最新版查杀会发现有传奇木马，杀掉。
　9、重新启动你的电脑，一切OK。


网上其它资源
　目前网上介绍到该恶意代码的站有：http://gamezone.qq.com/a/20040804/000062.htm