>> 木马专家2006 专区 >> 木马上报 >> 返回

主题: 请大侠帮忙清木马谢谢！
作者:bb520	楼 主
内存中发现木马!viptray.exe-=>Trojan.DownLoader.10360[变种] #16341 强行中止木马进程... 木马从内存中清除成功! 木马在硬盘清除成功! c:\windows\system32\viptray.exe 这个木马怎么清也清不了.......怎么办好啊？
发表时间:2006-6-13 23:19:50

作者:5076725	第楼
我也发现了同样的木马~~希望早日解决~~~谢谢
发表时间:2006-6-15 16:05:18

作者:阿康	第楼
用新版本的木马专家006 ------------------签名------------------- Beyond 工作室 阿康 【木马专家2006】24小时在线客服ＱＱ：４００５９９２ 【木马专家2006】群:６０３３１３
发表时间:2006-6-18 16:08:01

作者:Fly	第楼
用新版本的木马专家006需要付费吗？
发表时间:2006-7-15 0:45:37

作者:枫	第楼
以上木马是下载者变种,请进入安全模式查杀.<BR>这里是如何进入安全模式的详解 http://www.beyondwork.com.cn/bbs/board/bbs6/fileid320.html ------------------签名------------------- Beyond 工作室　枫
发表时间:2006-7-15 12:44:36

作者:ito890	第楼
1、进程名为 viptray.exe，存在于 C:\WINDOWS\system32 文件夹里，有108K，手工删除之后，当我打开任意一个文件夹的时候会自动再出现。 2、在 C:\WINDOWS\Prefetch 文件夹里有一个名为 VIPTRAY.EXE-2AF29F5C.pf 的文件，有14K，手工删除之后会伴随viptray.exe出现。 3、在注册表里面会生成以下文件： 在 HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 和HKEY_USERS\S-1-5-21-1409082233-412668190-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603里各有名称为000的REG_SZ文件，数据是VIPTRAY,该文件可以删除 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY 和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIPTRAY和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY里各有名称为NextInstance的REG_DWORD文件，数据是0x00000001 (1)，该文件不能删除 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY\0000和 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VIPTRAY\0000 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY\0000里各有6个文件，它们是：  名称              类型              数据               Class            REG_SZ          segacydriver               ClassGUID        REG_SZ          {8ECC055D-047F-11D1-A537-  0000F8753ED1}                ConfigFlags      REG_DWORD        0x00000000 (0)               DeviceDesc        REG_SZ            viptray               Legacy            REG_DWORD        0x00000001 (1)               Service          REG_SZ            viptray 以上文件不能删除。 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VIPTRAY\0000\Control 和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VIPTRAY\0000\Control里各有名称为ActiveService的REG_SZ文件，数据是viptray，该文件不能删除。 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\VIPTray和HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\VIPTray HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\VIPTray里和各有两个文件，为：              名称              类型              数据         EventMessageFile  REG_EXPAND_SZ  C:\WINDOWS\system32\viptray.exe         TypesSupported    REG_DWORD        0x00000007 (7) 以上文件可以删除。 在 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray里各有7个文件，分别为：        名称              类型              数据         Description          REG_SZ      提供基于 internet exlorer的网络内容。如果……           DisplayName          REG_SZ            viptray           ErrorControl        REG_DWORD        0x00000001 (1)         ImagePath          REG_EXPAND_SZ    C:\WINDOWS\system32\viptray.exe         ObjectName          REG_SZ          localsystem           Start              REG_DWORD        0x00000002 (2)         Type                REG_DWORD        0x00000010 (16) 以上文件可以删除。 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray\Enum 和 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray\Enum里有3个文件。分别为：             名称              类型              数据               0            REG_SZ          boot\legacy_viptray\0000             Count          REG_DWORD        0x00000001 (1)           NextInstance    REG_DWORD        0x00000001 (1) 以上文件可以删除． 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VIPTray\Security和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VIPTray\Security里有一个名称为Security的REG_BINARY类型的文件，数据为01 00 04 80 90 00 00 00 9c 00 00 00 14……，该文件可以删除。
发表时间:2006-8-1 10:44:59

快速回复
默认支持UBB,如果你不希望   支持UBB或要其它功能你可   以用高级回复进行编辑	标题     内容