【前言】
本次分析以WINXP系统为例
Trojan.DL.Agent.jer是一个木马
确切的说应该是一个流氓软件程序
【分析】
C:\WINDOWS\system32\viptray.exe创建了系统服务
服务如下:
O23 - Service: VIPTray (VIPTray) - - C:\WINDOWS\system32\viptray.exe
C:\WINDOWS\system32\viptray.exe会下载一个iebar.exe
安装后会生成C:\Program Files\IE-BAR\
iebar.exe会修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system为C:\WINDOWS\system32\friendly.exe
并创建一个自启动项
自启动项如下:
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe
同时创建一个IE恶意加载模块
BHO如下:
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
【解决】
用HIJACKTHIS修复
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe
开始--控制面板--性能和维护--管理工具--服务
禁用VIPTray(VIPTray)
开始--运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services](X代表1,2,3,4....)
找到后删除VIPTray文件夹
开始--运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Enum\Root\](X代表1,2,3,4....)
找到后删除LEGACY_VIPTRAY文件夹
卸载
C:\Program Files\IE-BAR\
删除
C:\Program Files\IE-BAR\
C:\WINDOWS\system32\viptray.exe
C:\WINDOWS\system32\friendly.exe
C:\WINDOWS\system32\WinDefendor.dll
若有下面这一项
建议也删除:
开始菜单--程序--启动--IE-BAR
【提示】
刚才有朋友说在系统服务面板中找不到VIPTray(VIPTray)服务
建议操作如下:
http://www.xfocus.net/tools/200605/1161.html
下载后打开IceSword
用IceSword查找并禁用VIPTray服务试试
若正常模式下无法删除
建议进入安全模式下操作
