|
|
|||||||||||
|
|||||||||||||
| 当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
| realplayer.exe的查杀 | |||
| 2006-8-30 14:21:25 文/金均和 出处:电脑软硬件应用网 | |||
|
此病毒好象会使 IceSword 和 killbox 无法打开.. 瑞星杀毒软件可杀..但是重启后还会有... 参考资料:IE主页被改为7939.com的解决教程/Article/pcedu/Safety/200608/10517.htm 下面是处理方法... ---------------------------------------------------------------- 关于realplayer.exe的查杀 最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。 运行realplayer.exe 后 发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄 两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件 并且在注册表项上添加了2个启动项 O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe 达到开机启动的目的 清除方法如下 控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上 打开任务管理器 结束Realplayer.exe 然后结束 Explorer进程 此时桌面可能没了 不要担心 然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到 C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件 然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了 结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll 否则删不掉 然后 用hijackthis修复 O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe 这两项 修复注册表 开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown 整个项目 至此 该病毒就被干掉了 |
|||
| 关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
|
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |
