 |  | 加入收藏 木马上报 关于我们 |
|
 >> 木马专家2006 专区 >> 木马上报 >> 返回 | |||
 |  |  | |
| 主题: 请大侠帮忙清木马谢谢! | |
| 作者:bb520 |       楼 主 |
| 内存中发现木马!viptray.exe-=>Trojan.DownLoader.10360[变种] #16341 强行中止木马进程... 木马从内存中清除成功! 木马在硬盘清除成功! c:\windows\system32\viptray.exe 这个木马怎么清也清不了.......怎么办好啊? | |
| 发表时间:2006-6-13 23:19:50 | |
| 作者:5076725 |  第1楼 |
| 我也发现了同样的木马~~希望早日解决~~~谢谢 | |
| 发表时间:2006-6-15 16:05:18 | |
| 作者:阿康 | 第2楼 |
| 用新版本的木马专家006 ------------------签名------------------- Beyond 工作室 阿康 【木马专家2006】24小时在线客服QQ:4005992 【木马专家2006】群:603313 | |
| 发表时间:2006-6-18 16:08:01 | |
| 作者:Fly | 第3楼 |
| 用新版本的木马专家006需要付费吗? | |
| 发表时间:2006-7-15 0:45:37 | |
| 作者:枫 | 第4楼 |
以上木马是下载者变种,请进入安全模式查杀.<BR>这里是如何进入安全模式的详解  http://www.beyondwork.com.cn/bbs/board/bbs6/fileid320.html------------------签名------------------- Beyond 工作室 枫 | |
| 发表时间:2006-7-15 12:44:36 | |
| 作者:ito890 | 第5楼 |
| 1、进程名为 viptray.exe,存在于 C:\WINDOWS\system32 文件夹里,有108K,手工删除之后,当我打开任意一个文件夹的时候会自动再出现。 2、在 C:\WINDOWS\Prefetch 文件夹里有一个名为 VIPTRAY.EXE-2AF29F5C.pf 的文件,有14K,手工删除之后会伴随viptray.exe出现。 3、在注册表里面会生成以下文件: 在 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 和HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603里各有名称为000的REG_SZ文件,数据是VIPTRAY,该文件可以删除 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY 和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIPTRAY和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY里各有名称为NextInstance的REG_DWORD文件,数据是0x00000001 (1),该文件不能删除 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY\0000和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIPTRAY\0000 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY\0000里各有6个文件,它们是: 名称 类型 数据 Class REG_SZ segacydriver ClassGUID REG_SZ {8ECC055D-047F-11D1-A537- 0000F8753ED1} ConfigFlags REG_DWORD 0x00000000 (0) DeviceDesc REG_SZ viptray Legacy REG_DWORD 0x00000001 (1) Service REG_SZ viptray 以上文件不能删除。 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY\0000\Control 和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY\0000\Control里各有名称为ActiveService的REG_SZ文件,数据是viptray,该文件不能删除。 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\VIPTray和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\VIPTray HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VIPTray里和各有两个文件,为: 名称 类型 数据 EventMessageFile REG_EXPAND_SZ C:\WINDOWS\system32\viptray.exe TypesSupported REG_DWORD 0x00000007 (7) 以上文件可以删除。 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray里各有7个文件,分别为: 名称 类型 数据 Description REG_SZ 提供基于 internet exlorer的网络内容。如果…… DisplayName REG_SZ viptray ErrorControl REG_DWORD 0x00000001 (1) ImagePath REG_EXPAND_SZ C:\WINDOWS\system32\viptray.exe ObjectName REG_SZ localsystem Start REG_DWORD 0x00000002 (2) Type REG_DWORD 0x00000010 (16) 以上文件可以删除。 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray\Enum 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray\Enum里有3个文件。分别为: 名称 类型 数据 0 REG_SZ boot\legacy_viptray\0000 Count REG_DWORD 0x00000001 (1) NextInstance REG_DWORD 0x00000001 (1) 以上文件可以删除. 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray\Security和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray\Security里有一个名称为Security的REG_BINARY类型的文件,数据为01 00 04 80 90 00 00 00 9c 00 00 00 14……,该文件可以删除。 | |
| 发表时间:2006-8-1 10:44:59 | |
| 快速回复 | |
默认支持UBB,如果你不希望 支持UBB或要其它功能你可 以用高级回复进行编辑 | |
|
 |