|
一�、手工解決
病毒名稱:詭秘下載器變種CXW(Trojan.DL.Delf.cxw)
病毒類型:流氓軟件
病毒危害級別:★★★☆
病毒發(fā)作現(xiàn)象及危害:
該病毒運行后會從黑客指定的網(wǎng)站下載指令并運行,會將用戶IE瀏覽器的主頁鎖定為一個名叫“7939上網(wǎng)導(dǎo)航”的網(wǎng)站,以提高該網(wǎng)站的訪問量.該病毒會試圖禁止多種安全工具軟件運行,并會造成一些主流殺毒軟件運行不正常.它還會自動從http//down.Viru??ky.com下載新的病毒并運行.
手工清除:
一、清除內(nèi)存中的病毒
在任務(wù)管理器中找到名為“Realplayer.exe”和“Explorer.exe”的進程����,單擊鼠標右鍵�����,選擇“結(jié)束進程”�����。
“Explorer.exe”進程被結(jié)束后將會看不到桌面圖標和任務(wù)欄����,這時按住Ctrl+Alt+Del鍵�����,啟動任務(wù)管理器���,點擊菜單“文件”-》“新建任務(wù)(運行…)”����,輸入“explorer.exe”�����,點擊“確定”。 |
|
|
貼子相關(guān)圖片:
 |
|
|
|
二�����、刪除病毒文件
1��、打開“我的電腦”�,選擇菜單“工具”-》“文件夾選項”,點擊“查看”�,取消“隱藏已知類型文件的擴展名”前的對勾,然后點擊“確定”�。
2、進入Windows系統(tǒng)文件目錄下(默認為C:WindowsSystem32)���,刪除掉“realplayer.exe”�����、“brlmon.dll”(部分變種dll文件的名稱為ravmon.dll)兩個文件。
三��、修復(fù)注冊表
1����、點擊“開始”菜單����,選擇“運行”���,輸入“regedit.exe”并確定��,打開注冊表編輯器����。
2�����、打開HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun����,在右邊的窗格中找到“Realplayer.exe”一項,將其刪除����。
3、打開HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRun��,在右邊的窗格中找到“Realplayer.exe”一項,將其刪除�。
4、打開HKEY_LOCAL_MACHINE/SOFTWARE�,將其下的“Microsoft NT”目錄整個刪除(包含其下的子項)。
5����、打開HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft,將其下的“RunDown”目錄整個刪除(包含其下的子項)���。
四���、修復(fù)IE首頁
打開IE瀏覽器,點擊菜單“工具”-》“Internet選項”�����,打開“常規(guī)”選項頁�����,在“主頁”處自行設(shè)置IE的主頁地址��。
用殺毒軟件清除:
由于該病毒變種繁多�����,DLL文件名稱不固定�����,手工清除有一定困難�,建議用戶使用瑞星殺毒軟件進行清除。清除該病毒時需注意以下三點:
1��、必須在殺毒軟件的查殺目標中勾選“內(nèi)存”
由于該病毒會注入到系統(tǒng)進程當(dāng)中�����,因此查殺該病毒必須先對內(nèi)存進行檢查��,否則可能出現(xiàn)查殺失敗���。 |
|
|
貼子相關(guān)圖片:
 |
|
|
|
2�����、殺毒后需重新啟動計算機
瑞星在查到該病毒時會提示用戶“重新啟動計算機后刪除文件”��。用戶只需在殺毒完畢后立即重新啟動計算機即可清除該病毒��。
消息來源:瑞星 |
|
|
|
|
|
|
主頁鎖定www.的解決辦法(realplayer.exe)..(清除工具提供)
感謝作者tkabc的無私奉獻���,附件是專殺
這問題也越來越多人求助了...造成主頁被修改是因為 realplayer.exe
此病毒好象會使 IceSword 和 killbox 無法打開..
瑞星殺毒軟件可殺..但是重啟后還會有...
-------------------------------------------------------------------------
清除工具:
a) 下載附件7939.zip到桌面,解開壓縮包,運行bfu.exe
b) 按 文件夾圖示 ,選取在 bfu.exe 旁的 7939.bfu 檔案
c) 選取后, 確定已勾上 Use settings specified in script for above options
d) 請關(guān)閉正在使用的程式(eg. QQ,IE),按 Execute 開始 , 請耐心等候
e) 完成后,可能會提示你要重新開機,請重新開機
你會發(fā)現(xiàn)在%SYSTEMDRIVE% (一般C:\ ) 下,會多了一個Suspect file的文件夾,刪除就可以了
作者:tkabc
-------------------------------------------------------------------------
關(guān)于realplayer.exe的查殺
最近發(fā)現(xiàn)很多人都中了這個realplayer.exe 我拿到樣本后測試了一下 這是個QQ的盜號木馬�����,而且偽裝成為real的進程 比較可惡�����。
運行realplayer.exe 后
發(fā)現(xiàn)在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)兩個文件 且brlmon.dll(RavMon.dll)插入Explorer進程 還好插入的是Explorer進程 比較好弄
兩個東西相互監(jiān)視 所以即便結(jié)束了 realplayer.exe進程 也無法刪除這個文件
并且在注冊表項上添加了2個啟動項
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
達到開機啟動的目的
清除方法如下
控制面版-文件夾選項-查看-顯示系統(tǒng)文件夾的內(nèi)容和顯示所有文件和文件夾 勾上
打開任務(wù)管理器 結(jié)束Realplayer.exe
然后結(jié)束 Explorer進程
此時桌面可能沒了 不要擔(dān)心
然后點擊任務(wù)管理器上方的菜單欄中的 文件-新建任務(wù)-瀏覽 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右鍵刪除該文件
然后文件-新建任務(wù)-瀏覽 打開C:\Windows\Explorer.exe 此時 桌面又回來了
結(jié)束Explorer.exe是為了刪除那個C:\WINDOWS\system32\brlmon.dll(C:\WINDOWS\System32\RavMon.dll) 否則刪不掉
然后 用hijackthis修復(fù)
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
這兩項
修復(fù)注冊表
開始 運行 輸入regedit 刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
整個項目
最后記得一定要將主頁改回來
附:hijackthis下載地址 http://forum./topic.asp?board=28&artid=8105899
修復(fù)方法:打開hijackthis 選擇 僅執(zhí)行掃描系統(tǒng) 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 啟動項HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑鉤 點擊下面的修復(fù) 即可
另外請大家打全系統(tǒng)補丁 可能這個病毒是通過系統(tǒng)漏洞傳播的
硅谷動力提供的專殺軟件下載
http://download./speed/toftp.php?fname=030202006090301 |
|
|
|
|
|
|
如果你首頁被設(shè)為7939���,應(yīng)該也感染了這個木馬
落雪”(GamePass)木馬專殺1.1
說明:“落雪”GamePass木馬病毒專殺工具
使用方法:下載文件至本機,解壓后雙擊運行即可
查殺引擎版本:1.1 工具大小:51.7 KB 最新更新日期:2006.08.23
江民提供這種木馬的專殺
| |
|
|
|
和我共享殲滅的心情吧
第一步.啟動計算機時連續(xù)按F8進入選項頁面 選擇安全模式
第二步.進入安全模式后→打開我的電腦選工具→選文件夾選項→選查看 →找到(隱藏受保護的操作系統(tǒng)文件)把此設(shè)置前面的”√” 去掉→選擇(隱藏文件和文件夾)里的子文件(顯示所有文件 和文件夾)→最后選擇確定.
第三步. 點擊開始→選擇搜索項中的(文件或文件夾)Internet選擇搜 索所有文件和文件夾→在搜索框中輸入Realplayer.exe→搜到后 將其刪除(刪除后此病毒在回收站千萬別忘記把回收站的也刪掉
→在搜索框中繼續(xù)輸入brlmon.dll→搜到后將其刪除
第四步.點擊Internet瀏覽器選擇工具里的Internet選項→把主頁改成你 想設(shè)置的網(wǎng)址→然后點擊確定
第五步.重起計算機
第六步. 謝謝我
作者: 偉東761015 2006-9-5 11:28 回復(fù)此發(fā)言 |
|
|
|
|
|
|
www.導(dǎo)致360安全無法運行的解決辦法
先把桌面的360快捷方式刪除,然后進入360的安裝文件下 ,默認安裝路徑:C:\Program Files\360safe���,修改360應(yīng)用程序的文件名 ,便可以直接運行360安全衛(wèi)士��,然后可以直接把7393殺掉����。 |
|
|
|
