瑞星卡卡安全论坛
无处循逃 - 2006-8-28 0:11:00
IE首页被强制改为www.7939.com,用过很多方法都不行。网上说的方法;在安全模式下删除c:windows\system32\realplayer.exe文件可以解决。但我在相应文件夹里根本找不到这个文件(已经改为显示所有文件)。请高手帮帮忙!
无处循逃 - 2006-8-28 9:38:00
看的人多,有没有人帮帮我啊?谢谢!
水树雨下 - 2006-8-28 9:56:00
用超级兔子修复一下,如果不成功的话就扫个日志上来
无处循逃 - 2006-8-28 10:11:00
用过超级兔子,没有用。怎么扫个日志?
闪电风暴 - 2006-8-28 10:16:00
无处循逃 - 2006-8-28 10:57:00
下载了。好像安装不了....
无处循逃 - 2006-8-28 11:10:00
安装时瞬间弹出一个警告框,消失,然后没用动静。请问怎么回事呢
无处循逃 - 2006-8-28 11:52:00
打开HijackThis怎么会一闪而过就什么都没有呢?
zhianv - 2006-8-28 14:12:00
解决方法
解决方法如下
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示确定更改时,单击“是”,清除“隐藏已知文件类型的扩展名
ALT+CTRL+DELETE调出任务管理器,终止explorer.exe 还有Realplayer.exe的进程
点“文件”“新任务”“浏览”找到C:\WINDOWS\system32\Realplayer.exe
删除Realplayer.exe
点“文件”“新任务”“浏览”找到C:\WINDOWS\explorer.exe,双击打开
运行(双击)System Repair Engineer,使用“启动项目,注册表”来删除以下选项。
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\system32\Realplayer.exe
删除
C:\WINDOWS\system32\brlmon.dll
把主页改回来。
引用我无邪朋友的方法
交杯可乐 - 2006-8-28 17:38:00
和楼主一样IE首页被强制改为www.7939.com,用过很多方法都不行。有那位高手可以解决?
无处循逃 - 2006-8-28 17:44:00
问题解决了。谢谢第八楼的。不过要在安全模式中才能删除Realplay.exe
交杯可乐 - 2006-8-29 8:55:00
谢谢朋友.是用卡卡吧.还是雅虎?
水树雨下 - 2006-8-29 9:05:00
你敢用雅虎?汗……
建议用兔子,比卡卡好用
★酷§侠★ - 2006-8-29 10:28:00
扫描日志找海生、cqcl、闪电风暴!
夜精灵守护者 - 2006-8-29 18:20:00
我按上面的步骤在安全模式下,任务管理器中看不到Realplayer.exe进程,怎么办呢,郁闷的很啊
usher8701 - 2006-8-30 11:02:00
兄弟我也是被http://www.7939.com/这个网站劫持的
操他妈的
TMD怎么贱
相思豆123 - 2006-8-30 17:24:00
下面是处理方法...
----------------------------------------------------------------
关于realplayer.exe的查杀
最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
清除方法如下
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件
然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll 否则删不掉
然后 用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
整个项目
至此 该病毒就被干掉了
附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可
----------------------------------------------
忘记从前 - 2006-8-30 19:11:00
反病毒论坛有 嘿嘿!
相思豆123 - 2006-8-30 20:01:00
就是粘来的
哈哈镜hahajing - 2006-8-30 21:44:00
利用把楼的方法可以解决的。我也正好种了相同的病,现已解决。多谢八楼的朋友了。收藏了,以后转给别人吧
leafchan - 2006-8-31 2:42:00
请问8楼,我按照你的方法执行了,有一步没做,也成功了,那请问
“删除 C:\WINDOWS\system32\brlmon.dll”(因为我没有找到这文件)
这步不做有什么影响吗?这个是病毒吗?怎么能找到这文件阿?
谢谢!嘿嘿,我找怎么把7939这个网页改回来找了好久了,今天按照你的
方法苦战到晚上2点,终于变回原来的主页了,万分感谢,还请你在帮我把
上面说的问题解决下,嘿嘿。。谢啦~~
leafchan - 2006-8-31 2:45:00
【回复“zhianv”的帖子】
请问8楼,我按照你的方法执行了,有一步没做,也成功了,那请问
“删除 C:\WINDOWS\system32\brlmon.dll”(因为我没有找到这文件)
这步不做有什么影响吗?这个是病毒吗?怎么能找到这文件阿?
谢谢!嘿嘿,我找怎么把7939这个网页改回来找了好久了,今天按照你的
方法苦战到晚上2点,终于变回原来的主页了,万分感谢,还请你在帮我把
上面说的问题解决下,嘿嘿。。谢啦~~
1
© 2000 - 2026 Rising Corp. Ltd.