5003.exe样本来自http://www.12km.com/viewthread.php?tid=13499&extra=page%3D1。

运行后，只在C:\Documents and Settings\All Users\Application Data\Microsoft\下创建文件夹IEHelper。

IEHelper文件夹中只有一个文件IEHelper_5003.dll。


HijackThis V1.99.1日志中出现：

O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5003.dll

此项不能用HijackThis V1.99.1修复。

注册表改动：
1、在HKEY_CLASSES_ROOT\CLSID\分支添加：{16B770A0-0E87-4278-B748-2460D64A8386}（此键值须用IceSword才能删除）。
2、在HKEY_CLASSES_ROOT\添加：IEHelper.MyIEHelper和IEHelper.MyIEHelper.1。
3、在HKEY_CLASSES_ROOT\Interface\分支添加：{A4772988-4A85-4FA9-824E-B5CF5C16405A}
4、在HKEY_CLASSES_ROOT\TypeLib\分支添加：{2511DE40-34A3-4C6A-B1B2-C5C92A2F00BE}
5、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects分支添加：{16B770A0-0E87-4278-B748-2460D64A8386}。（此键值须用IceSword才能删除）。


查杀流程：

1、用IceSwword删除上述注册表项。
2、用IceSwword删除C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper文件夹。

引用:

【影子110的贴子】它不是IE的正常插件~? ………………

不是。
是那个5003.exe运行后释放的。样本的提供者声称：中了这个须重装系统。
有这个dll存在，打开IE时，会自动打开一个成人图片广告页面，令人尴尬。

引用:

【mopery的贴子】http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfo&InfoID=718&Channel=RSV 这是瑞星那边的处理方法..不知道有效果么.. 具体没测过.. ………………

效果应该是一样的。
不过，那样做比用IceSword解决问题要麻烦多了。