winbery感染系统的表现：

1、创建下列木马文件：

C:\WINDOWS\system32\winbery.exe
C:\WINDOWS\vbarun.dll
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini

2、注册表改动：
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下
添加："KernelCheck"="C:\\WINDOWS\\system32\\winbery.exe"

winbery的查杀：

这个木马有进程守护功能，可以借助IceSword查杀。

1/在IceSword的设置中勾选“禁止进/线程创建”，按“确定”。
2/在IceSword的进程列表中结束winbery.exe进程（可能要结束几次才能杀掉这个进程）。
3/删除木马创建的文件（见附图）。
4/删除木马添加的注册表项。