1.RSTray.exe是瑞星卡卡上网安全助手6.0的实时监控程序。你结束它的进程后,右下角的一个蓝色小球程序就没了。RSTray.exe是负责监控的,基本每种杀毒软件都带着这种类似的监控程序,防止病毒木马侵入,提醒拦截恶意广告用的。RSTray.exe正确的位置是X:\Rising\AntiSpyware\RSTray.exe(X指的是你安装的盘符)
2.一款通过电子邮件传播的网银盗号木马,该木马可以截获用户的键盘操作和用户在登陆网上银行时使用鼠标点击软键盘输入时的图片信息,截取成功后,将连接网络发送到指定的ftp空间。病毒检测
用户可以通过查看系统中是否存在如下目录结构来判断计算机是否已经被该病毒感染:
-- clickshots [存放用户在登陆网银时的屏幕截图]
-- logs [存放用户的键盘记录文件]
注:记录文件被上传到ftp后,本地文件将会被删除。
解决方案
关闭进程"rstray.exe"
删除注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SCISound"="\"C:\\WINDOWS\\rstray.exe\" /lanzateRunOnce"
删除目录:
%Windir%\msik
删除文件:
%Windir%\rstray.exe
%Windir%\winhlp32.hlp[1]
RStray.exe
某IE木马,自身存放在
%Windir%\system32\
目录下。
将自己添加进注册表随IE启动从而起作用。