IT家园 - Powered by Discuz! Board

标题: Trojan.DL.Agent.jer的解决方案 [打印本页]

作者: 零点十分 时间: 2006-7-5 08:11 标题: Trojan.DL.Agent.jer的解决方案

本次分析以WINXP系统为例
Trojan.DL.Agent.jer是一个木马
确切的说应该是一个流氓软件程序

【分析】
C:\WINDOWS\system32\viptray.exe创建了系统服务
服务如下：
O23 - Service: VIPTray (VIPTray) - - C:\WINDOWS\system32\viptray.exe

C:\WINDOWS\system32\viptray.exe会下载一个iebar.exe
安装后会生成C:\Program Files\IE-BAR\
iebar.exe会修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system为C:\WINDOWS\system32\friendly.exe
并创建一个自启动项
自启动项如下：
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe

同时创建一个IE恶意加载模块
BHO如下：
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll

【解决】
用HIJACKTHIS修复
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O4 - Global Startup: IE-BAR.lnk = ?
或
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\system32\rundll32.exe

开始－－控制面板－－性能和维护－－管理工具－－服务
禁用VIPTray(VIPTray)

开始－－运行
输入regedit
确定
进入注册表
依次展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services]
找到后删除VIPTray文件夹

开始－－运行
输入regedit
确定
进入注册表
依次展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
找到后删除LEGACY_VIPTRAY文件夹

卸载
C:\Program Files\IE-BAR\

删除
C:\Program Files\IE-BAR\
C:\WINDOWS\system32\viptray.exe
C:\WINDOWS\system32\friendly.exe
C:\WINDOWS\system32\WinDefendor.dll

若有下面这一项
建议也删除：
开始菜单－－程序－－启动－－IE-BAR

【提示】
刚才有朋友说在系统服务面板中找不到VIPTray(VIPTray)服务
建议操作如下：
http://www.xfocus.net/tools/200605/1161.html
下载后打开IceSword
用IceSword查找并禁用VIPTray服务试试

若正常模式下无法删除
建议进入安全模式下操作

作者: 自由人 时间: 2006-7-5 08:39

谢谢版主

欢迎光临 IT家园 (http://bbs.it998.com/)