- 积分
- 4303
- 威望
- 0
- 魅力
- 0
- 经验
- 22
- 热心度
- 0
- 注册时间
- 2005-11-11
- 最后登录
- 2017-6-24
- 主题
- 697
- 回帖
- 1339
- 精华
- 29
- 阅读权限
- 90
该用户从未签到
论坛嘉宾
- 积分
- 4303
|
我8月几号电脑主页被改写成了<a href="http://www.7939.com." target="_blank">www.7939.com.</a>我用了n多种杀毒软件海域其他软件。用尽了办法,都不能改掉。<br />昨天我把瑞升级到最新版的,人称最新版能杀掉的。但是瑞星帮我查出了这个病毒Trojan.DL.Delf.cxw。但是瑞星杀掉这个病毒,它马上又有了。杀不完。<br />今天我终于彻底杀掉了这个病毒,我好高兴!!!!<br />下面是我的步骤,希望和我同样受害的朋友看看,解决这个病毒。<br /><br />这个毒会修改IE把首页改成7939的导航网,可以用手工杀的,用户中了之后会形成文件C:\WINDOWS\system32\realplayer.exe 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。<br />运行realplayer.exe 后<br />发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件 且brlmon.dll(RavMon.dll)插入Explorer进程 还好插入的是Explorer进程 比较好弄<br />两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件<br />并且在注册表项上添加了2个启动项<br />O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe<br />O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe<br />达到开机启动的目的<br /><br />清除方法如下:<br />1。<br />控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上<br />打开任务管理器 结束Realplayer.exe<br />然后结束 Explorer进程 <br />此时桌面可能没了 不要担心 <br />然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到<br />C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右键删除该文件<br />然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了<br />结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll(C:\WINDOWS\System32\RavMon.dll) 否则删不掉<br />2。 <br />. 删除病毒添加的启动项:<br />[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]<br />"Realplayer.exe"="%System%\Realplayer.exe"<br /><br /><br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />"Realplayer.exe"="%System%\Realplayer.exe" <br />3。<br />删除病毒添加的注册表信息:<br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]<br /><br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown] <br />4。<br />修改主页<br /><br /><br /><br />就这样ok了。 |
|