|
一直以来我还以为:viptray是我电脑中的三星笔记本的驱动程序(vptray为NORTON杀毒软件的进程名),结果今天上网一查,竟然是一个病毒,并且还有不少人已经中了,奇怪的是这么大的病毒竟然连麦咖啡与卡吧都没查出来,让我很惊奇!
最后找了一下专杀方法,方法如下:
下载 kv_viptray.exe viptray.exe专杀程序。
下载后重启到安全模式,运行kv_viptray.exe,等一会,会自动关闭。
然后看看进程中viptray.exe还有没有,如果还有请手动删除以下文件:
c:\WINNT\system32\VIPTray.exe
c:\WINNT\system32\WinDefendor.dll
c:\WINNT\system32\friendly.exe |
分析病毒:
VipTray.exe 会从htt://ulink4.dudu.com/setup/iebar.exe(注意:请勿下载!)
下载一个iebar.exe, 并让用户安装。而这个里面捆绑了后门。安装完iebar.exe会修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=
创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects
DLL名称为 WinDefendor.dll
同时 VipTray 会注册成系统服务。
服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止,将会失去这些功能和内容。如果此服务被禁用,其他依赖此服务的网络内容将无法正常运行。
上一篇:禁止显示Windows2000上次登录用户名
下一篇:轻松应对偷偷跑进来的自启动程序
|
精品推荐