最近电脑速度奇慢,没有安装realplayer,但是系统进程中有个realplayer..exe,IE首页被篡改成7939.com我用了n多种杀毒软件。用尽了办法,都不能改掉。上网搜索终于找到解决办法。
这个毒会修改IE把首页改成7939的导航网,可以用手工杀的,用户中了之后会形成文件C:\WINDOWS\system32\realplayer.exe 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件 且brlmon.dll(RavMon.dll)插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
中毒症状与手工清除方法如下:
1。控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右键删除该文件
然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll(C:\WINDOWS\System32\RavMon.dll) 否则删不掉
2。 删除病毒添加的启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
3。删除病毒添加的注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]
4。修改主页
