病毒档案：ADLoad广告下载器变种HY（Trojan.DL.AdLoad.hy）（转）

一分半

文/史瑀

病毒名称：ADLoad广告下载器变种HY（Trojan.DL.AdLoad.hy）
病毒类型：流氓软件
病毒危害级别：★★★☆
病毒发作现象及危害：
该流氓软件随其它共享软件被悄悄地安装在用户的计算机上，并且无法卸载。同时，该流氓软件采用一些病毒技术来进行自我保护，即使有经验的高级电脑用户也很难短时间内将其清除干净。该流氓软件会自动下载广告程序，并不定期地强行弹出广告窗口，影响用户正常使用电脑。


手工卸载：
一、清除内存中的病毒

在任务管理器中找到名为"VIPTray.exe"的进程，单击鼠标右键，选择"结束进程"。




二、删除流氓软件文件
1、打开"我的电脑"，选择菜单"工具"-》"文件夹选项"，点击"查看"，取消"隐藏已知类型文件的扩展名"前的对勾，然后点击"确定"。

2、进入Windows系统文件目录下（默认为C:\Windows\System32），删除掉"VIPTray.exe"、"friendly.exe"、"wmpcda.exe"三个文件。

3、再次调出任务管理器，结束掉名为"Explorer.exe"的进程。这时用户的桌面图标以及任务栏会暂时消失。

4、点击任务管理器的菜单，选择"文件"－》"运行"，输入"CMD"，确定。

5、在出现的命令行控制台中输入"Del c:\windows\system32\WinDefendor.dll"。

三、修复注册表

1、点击"开始"菜单，选择"运行"，输入"regedit.exe"并确定，打开注册表编辑器。

2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，在右边的窗格中找到"system"一项，将其删除。

3、打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，将其下的"VIPTray"目录整个删除（包含其下的子项）。

4、打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root，将其下的"LEGACY_VIPTRAY"目录整个删除（包含其下的子项）。

5、查找注册表中含有"WinDefendor.dll"的项目将其全部删除。


四、后期检查
        重新启动计算机，然后打开任务管理器，查看是否有"VIPTray.exe"进程存在，如果没有，则说明流氓软件已经清除干净。

瑞星提示：
        该软件手工卸载有一定难度和风险，建议用户使用杀毒软件进行清除。由于其为其它软件释放，可能会出现清除后重新感染的情况，建议用户手工将共享软件卸载，然后再手工清除该流氓软件。

如遇病毒，请拨打反病毒急救电话：010-82678800。能够上网的用户可以访问瑞星反病毒资讯网：http://www.rising.com.cn或登录http://help.rising.com.cn使用在线专家门诊进行免费咨询。