病毒分析
運行realplayer.exe 後發現在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(這3個檔案會有一個,因為是3個變種)兩個檔案 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer進程 還好插入的是Explorer進程 比較好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll兩個東西相互監視 所以即便結束了 realplayer.exe進程 也無法刪除這個檔案
並且在註冊表項上添加了2個啟動項
O4 - HKCU\..\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
達到開機啟動的目的
手工清除
雙擊我的電腦,工具,資料夾選項,查看,單擊選取"顯示隱藏檔案或資料夾" 並清除"隱藏受保護的作業系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然後確定1.打開任務管理器 (Ctrl+ALT+DEL) 結束Realplayer.exe
然後結束 Explorer進程
此時桌面可能沒了 不要擔心
2.然後點擊任務管理器上方的選單欄中的 檔案-新建任務-瀏覽 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右鍵刪除該檔案
3.然後檔案-新建任務-瀏覽 打開C:\Windows\Explorer.exe 此時 桌面又回來了
(結束Explorer.exe是為了刪除那個C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否則刪不掉)
4.然後 用hijackthis修復
O4 - HKCU\..\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
這兩項
5.修復註冊表開始 運行 輸入regedit刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu
整個項目
6.打開C:\Documents and Settings\用戶名\Local Settings\Temp
尋找類似v2006XXXX.rar的檔案把它刪除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.最後記得一定要將主頁改回來
附:hijackthis下載地址 http://forum.ikaka.com/topic.asp?board=28&;artid=8105899
修復方法:打開hijackthis 選擇 僅執行掃描系統 然後在視窗里把
O4 - HKCU\..\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: 【Realplayer.exe】 C:\WINDOWS\system32\Realplayer.exe
挑鉤 點擊下面的修復 即可
專殺下載
http://mopery.hits.io/7939_7b_v1.zip專殺清除
a) 下載附屬檔案 7939_7b_v1.zip 到桌面,解開壓縮檔,運行bfu.exe
b) 按 資料夾圖示 ,選取在 bfu.exe 旁的 7939_7b_v1.bfu 檔案
c) 選取後, 確定已勾上 Use settings specified in script for above options
d) 請關閉正在使用的程式和瀏覽器(eg. QQ,IE),按 Execute 開始 , 請耐心等候
e) 完成後,可能會提示你要重新開機,請重新開機
你會發現在%SYSTEMDRIVE% (一般C:\ ) 下,會多了一個Suspect file的資料夾,刪除就可以了
