关于www.7939.com劫持的解决方法（Realplayer.exe） bbs.ikaka.com

我无邪 - 2006-8-27 14:35:00

中招后，主页会给改为www.7939.com
运行Realplayer.exe后
日志上有
启动项
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\system32\Realplayer.exe
运行中的程序
C:\WINDOWS\system32\brlmon.dll

解决方法
解决方法如下
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示确定更改时，单击“是”，清除“隐藏已知文件类型的扩展名
ALT+CTRL+DELETE调出任务管理器,终止explorer.exe 还有Realplayer.exe的进程
点“文件”“新任务”“浏览”找到C:\WINDOWS\system32\Realplayer.exe
删除Realplayer.exe
点“文件”“新任务”“浏览”找到C:\WINDOWS\explorer.exe,双击打开
运行(双击)System Repair Engineer，使用“启动项目，注册表”来删除以下选项。
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\system32\Realplayer.exe
删除
C:\WINDOWS\system32\brlmon.dll
把主页改回来。

附件: 3176972006827142935.jpg

芝麻婆婆 - 2006-8-27 15:01:00

我已经终止了Realplayer.exe了，但在里面找不到explorer.exe，只有一个Explorer.EXE，然后我删除Realplayer.exe，但却说源文件在使用，不用删除，那应该怎么做。

秋日里的蓝天 - 2006-8-27 15:04:00

引用:

【芝麻婆婆的贴子】我已经终止了Realplayer.exe了，但在里面找不到explorer.exe，只有一个Explorer.EXE，然后我删除Realplayer.exe，但却说源文件在使用，不用删除，那应该怎么做。
………………

Hijackthis1.99.1汉化版扫描将日志粘贴上来

秋日里的蓝天 - 2006-8-27 15:06:00

呵呵！最近两天有很多人都中招了，来得及时呀！

把启动项的内容都放在上面更好啦！

芝麻婆婆 - 2006-8-27 15:11:00

【回复“秋日里的蓝天”的帖子】

芝麻婆婆 - 2006-8-27 15:11:00

【回复“秋日里的蓝天”的帖子】我已经发过贴了http://forum.ikaka.com/topic.asp?board=28&artid=8155698这个，麻烦你帮我看看啊。

我无邪 - 2006-8-27 15:12:00

引用:

在任务管理器里不可能没有explorer.exe这个进程，explorer.exe就是explorer.EXE。
你仔细些，一定要终止它后，才能删除Realplayer.exe，这是关键。

芝麻婆婆 - 2006-8-27 15:16:00

只有一个Explorer.EXE，我看过好多次了都找不还有别的。可我之前试过终止这个后，屏幕变色什么也没有了。那些快捷广式，任务栏什么的也没有了，只有蓝屏。

秋日里的蓝天 - 2006-8-27 15:19:00

引用:

【芝麻婆婆的贴子】【回复“秋日里的蓝天”的帖子】我已经发过贴了http://forum.ikaka.com/topic.asp?board=28&artid=8155698这个，麻烦你帮我看看啊。
………………

回了，看你的贴子

我无邪 - 2006-8-27 15:22:00

引用:

【芝麻婆婆的贴子】只有一个Explorer.EXE，我看过好多次了都找不还有别的。可我之前试过终止这个后，屏幕变色什么也没有了。那些快捷广式，任务栏什么的也没有了，只有蓝屏。
………………

所以我说你要细心点看那个帖子的说明
不复杂啊，我觉得说明的很仔细了。

芝麻婆婆 - 2006-8-27 15:27:00

我正按贴的做，可是我按了启动项目后，他弹出来一个说”
注册表USERINIG被修改为非正常值“这样的东西，应该怎么做？？

芝麻婆婆 - 2006-8-27 15:29:00

只有”确定“这两个字能让我按的，可以按的吗
还有，我在线等啊。问个笨问题，用SRE
怎么删

芝麻婆婆 - 2006-8-27 15:33:00

直接删可以了吧，但我找不到C:\WINDOWS\system32\brlmon.dll这个东西啊

我无邪 - 2006-8-27 15:41:00

你的这个提示框，与这个不相干，可以不做理会。
点确定进入，选中C:\WINDOWS\system32\Realplayer.exe
点删除就行了。
这个东东不删除也没有问题，关键是Realplayer.exe
你略过这步，完后，你重启，再扫份日志，发到你的帖子里来，把你的帖子链接通过悄悄话告诉我

芝麻婆婆 - 2006-8-27 15:45:00

没有找到C:\WINDOWS\system32\brlmon.dll这个东西，但我按你说了删了那两个REALPLAY.EXE。然后再改了主页已经成功了，不过不知道下次重启会不会再中招啊，呵，不过还是十分谢谢你，现在暂时已经解决了。万分感谢。

我无邪 - 2006-8-27 15:48:00

【回复“芝麻婆婆”的帖子】
何不重启试试。

硫酸羹双氧水 - 2006-8-28 10:15:00

我按楼主的方法已经搞定，谢谢楼主！

秋日里的蓝天 - 2006-8-30 21:53:00

这里要说明一下：
运行(双击)System Repair Engineer，使用“启动项目，注册表”来删除以下选项。
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\system32\Realplayer.exe
删除
C:\WINDOWS\system32\brlmon.dll
把主页改回来。

上面的内容很多人问我说这个不明白

这是一个扫描的工具：SRENG2
下载网址
http://free5.ys168.com/?ufwihgu168

这么好的贴都沉下去，我顶顶顶顶顶，

艾玛 - 2006-8-30 22:24:00

已有新变种了,大家把这个网址禁止掉hxxp://down.Virussky.com/

秋日里的蓝天 - 2006-8-30 22:27:00

引用:

【艾玛的贴子】已有新变种了,大家把这个网址禁止掉hxxp://down.Virussky.com/

………………

大姐，好久不见了，还好不，

艾玛 - 2006-8-30 22:38:00

还不错,工作学习比较忙了,很少来了.现在社区新人倍出,我要退了:-)

sugarysunny - 2006-8-30 22:42:00

感谢＂我无邪＂，我也莫名其妙就中了这个毒．．还没弄清楚是为啥中了的呢．

刚好有这贴子．我照着做．现在清除了．．．谢谢！！！

秋日里的蓝天 - 2006-8-30 23:15:00

引用:

【艾玛的贴子】还不错,工作学习比较忙了,很少来了.现在社区新人倍出,我要退了:-)
………………

大姐，不要退出呀，你退出我也走了，社区还你们支撑呀，新人在各方面都不成熟，我技术还只是皮毛呢？跟无邪好好学学！

百果来问问题 - 2006-8-30 23:28:00

帮忙顶沉了以后找不到了~

sihaiweijia - 2006-8-31 0:22:00

是什么原因中了这个流氓??

sihaiweijia - 2006-8-31 0:26:00

【回复“我无邪”的帖子】无邪兄,这个流氓软件是怎么让我们中招的??

中毒的蚂蚁 - 2006-8-31 0:48:00

除了这个，我这里嘟嘟网也有了，郁闷鸟，貌似瑞星升级后可以直接搞定了

我无邪 - 2006-8-31 0:53:00

【回复“sihaiweijia”的帖子】
主要是打开了陌生的网页而中招的

padocky - 2006-9-3 9:04:00

运行(双击)System Repair Engineer，使用“启动项目，注册表”来删除以下选项。
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\system32\Realplayer.exe
删除

我点了删除,可是删了一个另一个又出来了两个无法都删掉
怎么办?

傲龄枫心 - 2006-9-3 10:53:00

我按你的方法做了，就是找不到C:\WINDOWS\system32\brlmon.dll这个文件，所以不能删除．后来改主页成功了，可是重起后还是中招了．楼主，我改怎么做啊，有日志如下Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

瑞星卡卡安全论坛