winbery感染系统的表现:
1、创建下列木马文件:
C:\WINDOWS\system32\winbery.exe
C:\WINDOWS\vbarun.dll
C:\WINDOWS\system32\GroupPolicy\Machine\Scripts\scripts.ini
2、注册表改动:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run下
添加:"KernelCheck"="C:\\WINDOWS\\system32\\winbery.exe"
winbery的查杀:
这个木马有进程守护功能,可以借助IceSword查杀。
1/在IceSword的设置中勾选“禁止进/线程创建”,按“确定”。
2/在IceSword的进程列表中结束winbery.exe进程(可能要结束几次才能杀掉这个进程)。
3/删除木马创建的文件(见附图)。
4/删除木马添加的注册表项。
附件:
1558472005125203051.jpg