瑞星卡卡安全论坛
不言放弃 - 2006-6-27 13:13:00
【前言】
本次分析以WINXP系统为例
Trojan.DL.Agent.jer是一个木马
确切的说应该是一个流氓软件程序
【分析】
C:\WINDOWS\system32\viptray.exe创建了系统服务
服务如下:
O23 - Service: VIPTray (VIPTray) - - C:\WINDOWS\system32\viptray.exe
C:\WINDOWS\system32\viptray.exe会下载一个iebar.exe
安装后会生成C:\Program Files\IE-BAR\
iebar.exe会修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system为C:\WINDOWS\system32\friendly.exe
并创建一个自启动项
自启动项如下:
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe
同时创建一个IE恶意加载模块
BHO如下:
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
【解决】
用HIJACKTHIS修复
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe
开始--控制面板--性能和维护--管理工具--服务
禁用VIPTray(VIPTray)
开始--运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services](X代表1,2,3,4....)
找到后删除VIPTray文件夹
开始--运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\Root\](X代表1,2,3,4....)
找到后删除LEGACY_VIPTRAY文件夹
卸载
C:\Program Files\IE-BAR\
删除
C:\Program Files\IE-BAR\
C:\WINDOWS\system32\viptray.exe
C:\WINDOWS\system32\friendly.exe
C:\WINDOWS\system32\WinDefendor.dll
若有下面这一项
建议也删除:
开始菜单--程序--启动--IE-BAR
【提示】
刚才有朋友说在系统服务面板中找不到VIPTray(VIPTray)服务
建议操作如下:
http://www.xfocus.net/tools/200605/1161.html
下载后打开IceSword
用IceSword查找并禁用VIPTray服务试试
若正常模式下无法删除
建议进入安全模式下操作
710207 - 2006-6-27 13:15:00
收藏!!不过真能杀掉吗
轩辕小聪 - 2006-6-27 13:20:00
不言!
好久不见……
虽然现在不是经常在线,却每每在最需要的时候出现……
我这两天考试,都没什么空上卡卡,之前有拿到那个viptray.exe样本(那时瑞星不报),还没有用它试试呢(不知现在那个是否已经变种?)。下午考完试到我虚拟机里试一下,看看效果。
不言放弃 - 2006-6-27 13:23:00
【回复“轩辕小聪”的帖子】
小聪好
过一段时间我就不准备上网了
如果下次再上网的话
或许就到2007年了
=========
估计不会有什么变种
就是C:\Program Files\IE-BAR\导致的
woyaoshama - 2006-6-27 13:24:00
开始--控制面板--性能和维护--管理工具--服务
禁用VIPTray(VIPTray)
你说的 VIPTray(VIPTray) 我找不到啊 怎么回事啊
服务里面我都看了 就是没有啊 还有 C:\Program Files\IE-BAR\
这个也没呀!!!! 帮我解决下啊 我真找不到啊
轩辕小聪 - 2006-6-27 13:29:00
【回复“woyaoshama”的帖子】
晕,看了你发的帖子,你的那个不是传奇木马吗,跟这个viptray.exe又有什么关系?
woyaoshama - 2006-6-27 13:34:00
怎么杀不掉啊 Trojan.PSW.Lmir.kkx
到底是什么马啊
0断尺0 - 2006-6-27 13:35:00
不言,我的报告在我的帖子里,你帮我看看好吗,我不会弄
woyaoshama - 2006-6-27 13:36:00
怎么杀不掉啊 Trojan.PSW.Lmir.kkx
到底是什么马啊
woyaoshama - 2006-6-27 13:36:00
怎么杀不掉啊 Trojan.PSW.Lmir.kkx
到底是什么马啊
woyaoshama - 2006-6-27 13:36:00
怎么杀不掉啊 Trojan.PSW.Lmir.kkx
到底是什么马啊
soood - 2006-6-27 13:42:00
又学到了新东西
轩辕小聪 - 2006-6-27 13:50:00
【回复“woyaoshama”的帖子】
你至少总得把日志导出来吧?
个人认为有以下几种可能:
1.外挂或私服有问题
2.游戏本身的问题,本身就有对用户的监控行为,因此被认为是病毒行为,而报毒的文件可能是游戏本身产生的临时文件,表现是不运行游戏就没事,一打开游戏就报毒。
3.误报的可能性也不是没有。
4.比较隐蔽的木马所为。
gongwith - 2006-6-27 13:58:00
【回复“不言放弃”的帖子】删除了IE-BAR后,每次启动机器都提示"加载C:\Program Files\IE-BAR\cast\dmipn.dll时出错,找不到指定的模块"
轩辕小聪 - 2006-6-27 14:00:00
在注册表搜索并删除与C:\Program Files\IE-BAR\cast\dmipn.dll有关的项目
这只是注册表垃圾的清理工作而已了。
除了这个之外,现在杀软还有没有再报毒?
gongwith - 2006-6-27 14:05:00
【回复“轩辕小聪”的帖子】注册表里的IE-BAR都删除了,
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
里面没有找到VIPTRAY文件夹,
不言放弃 - 2006-6-27 14:10:00
| 引用: |
【gongwith的贴子】【回复“轩辕小聪”的帖子】注册表里的IE-BAR都删除了,
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
里面没有找到VIPTRAY文件夹,
........................... |
如果存在这个服务
就应该有这个文件夹的
建议使用ICESWORD查找试试
gongwith - 2006-6-27 14:14:00
【回复“不言放弃”的帖子:
注册表里找到一个LEGACY_VIPTRAY,但是删除不了,提示"无法删除",删除里面的子项提示"无法删除所以指定的值",按不言的办法,结果删除了IE-BAR后,每次启动机器都提示"加载C:\Program Files\IE-BAR\cast\dmipn.dll时出错,找不到指定的模块"
不言放弃 - 2006-6-27 14:16:00
【回复“gongwith”的帖子】
进入注册表
搜索dmipn.dll
找到后全部删除
然后重启
gongwith - 2006-6-27 14:19:00
【回复“不言放弃”的帖子】注册表里找到一个LEGACY_VIPTRAY还用删除吗?
不言放弃 - 2006-6-27 14:24:00
| 引用: |
【gongwith的贴子】【回复“不言放弃”的帖子】注册表里找到一个LEGACY_VIPTRAY还用删除吗?
........................... |
删除
进入注册表
在LEGACY_VIPTRAY右击--权限
更改为“安全控制”
然后再删除试试
gongwith - 2006-6-27 14:26:00
【回复“不言放弃”的帖子】dmipn.dll注册表里全删除了,但是重新启动还是提示"加载C:\Program Files\IE-BAR\cast\dmipn.dll时出错,找不到指定的模块"
不言放弃 - 2006-6-27 14:29:00
【回复“gongwith”的帖子】
应该还没有完全删除吧?
gongwith - 2006-6-27 14:37:00
【回复“不言放弃”的帖子】谢谢,这个删除掉了,启动也不报错了,原来在开始"启动"里还有一个"IE-BAR",删除后OK,病毒不知道还有没有,观察中!
不言放弃 - 2006-6-28 8:56:00
| 引用: |
【gongwith的贴子】【回复“不言放弃”的帖子】谢谢,这个删除掉了,启动也不报错了,原来在开始"启动"里还有一个"IE-BAR",删除后OK,病毒不知道还有没有,观察中!
........................... |
如心lvshu - 2006-6-28 9:04:00
服务里边跟注册表你给的路径里根本找不到这个文件!
无脚的鸟 - 2006-6-28 11:48:00
谢谢 我去试下
淡漠心情 - 2006-6-28 11:51:00
| 引用: |
【不言放弃的贴子】【回复“轩辕小聪”的帖子】
小聪好
过一段时间我就不准备上网了
如果下次再上网的话
或许就到2007年了
=========
估计不会有什么变种
就是C:\Program Files\IE-BAR\导致的
........................... |
小明酷拽 - 2006-6-28 12:24:00
【解决】
用HIJACKTHIS修复
这个是工具吗?
小明酷拽 - 2006-6-28 12:33:00
病毒信息
病毒名称:Trojan.Agent.cbi
路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0
文件名:mfc70.dll
中毒原因:下载东西按了压缩安装后来没变化就知道中毒了!
昨天下午有病毒提示时 我确定删除病毒 但是 处理结果忽略
这是什么意思 病毒还存在不存在呢?
斑竹帮一下
© 2000 - 2026 Rising Corp. Ltd.