|
楼主 |
发表于 2006-10-16 16:50:01
|
显示全部楼层
realplayer.exe(主页被改为http://www.7739/7939.com)病毒删除方法
病毒分析:
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
清除方法:
一、专杀清除
a) 下载附件7939.zip到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机
你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了
01/09更新
-刚刚发现DLL名称更新到 Rsvtub.dll,不用更新BFU Script即可把档案删除(移到Suspect file文件夹)
02/09更新
-这次DLL没变,只是增加另一个Reg Key
HKLM\SOFTWARE\Microsoft\Baidu
BFU Script 已经更新了,可以删除这个Key,未更新前的Script还是可以成功清除这个新版本(但不会删HKLM\SOFTWARE\Microsoft\Baidu)
The attached BFU script is written by Krazaf/tkabc....
专杀在附件中
二、手工清除
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu
整个项目
6.最后记得一定要将主页改回来
hijackthis下载地址
华军软件站 http://nj.onlinedown.net/soft/36689.htm
天空软件站 http://www.skycn.com/soft/15753.html
霏凡软件站 http://www.crsky.com/soft/4599.html
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可
另外请大家打全系统补丁 可能这个病毒是通过系统漏洞传播的
此病毒变种很多 且每天更新 如果在出现变种请下载上面所说的 专杀 查杀
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|