瑞星卡卡安全论坛

我的电脑今天晚上不知道为什么突然中毒！！！
到瑞星一看原来是橙色八月！！！
同时我也发现我的主页被恶意修改成了7939！！！1
我下了瑞星的橙色八月专杀工具，在安全模式下杀了毒，N多个，但是重启之后还是有，哭死！！！！！！！！
现在小妹妹我请教各位高手帮忙解决阿！！感激不尽

我电脑.都是在这修好的.这一定行...现在7939专门教成..我把网给你
http://forum.ikaka.com/topic.asp?board=28&artid=8157088

多谢你，我也看到了这个帖子，但是作者要我删除的两个文件，我都没有找到 也就是C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll
焦急等待中

..我也是个菜鸟....我..能告诉你的不多...我自己玩跑跑卡丁车.都无缘无故会...出现..蓝频死机呢.555555555

完了阿！！帖子沉入大海拉！！！！！

神秘的小白，谢谢你关心我，我有个解决你问题的绝好方法！！！
那就是再不玩泡泡卡丁车拉！！！瓦拉拉！！！

..............你...........

请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改



版面置顶有解决这个的方法``主页被修改成7939

请问你中的是什么病毒?那个帖子主页被改是因为QQ盗号木马.而你说你中的是橙色八月.

..下个.超级兔子就应该能解决了.

八楼的哥哥（弱弱的问一句，是不是哥哥阿，或者是姐姐！汗！！）我同时中了两种病毒阿！

小白！！我错了！
问一句，超级兔子真的有用吗?

http://forum.ikaka.com/topic.asp?board=28&artid=8137314
里面有橙色八月的解决办法．

至于另一个．．．．．．我也是新手．不误导你了

7楼的好心人！
你给我的两个地址，第一个一点就要下载个压缩文件，请问是你说的这个吗？第二个地址我找了N久，也没有看到你说的这个软件，如果是要日志，那么HijackThis可不可以呢，非常感谢

引用:

【我是小莉莉的贴子】7楼的好心人！ 你给我的两个地址，第一个一点就要下载个压缩文件，请问是你说的这个吗？第二个地址我找了N久，也没有看到你说的这个软件，如果是要日志，那么HijackThis可不可以呢，非常感谢 ………………

http://www.kztechs.com/sreng/sreng2.zip

下这个...

..你被.7939劫..应该去....反浏览器劫持论坛

7939地解决方法...


关于realplayer.exe的查杀

最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马，而且伪装成为real的进程 比较可恶。
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
清除方法如下
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件
然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe　此时　桌面又回来了
结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll　否则删不掉
然后　用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
整个项目　
至此　该病毒就被干掉了

附：hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法：打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可

帖子沉了.就别没高手看见你的帖了..

请到http://www.kztechs.com/sreng/sreng2.zip 下载System Repair Engineer 2.0.21.505（RC2）导出全部日志

我也中了这个,没办法,重装了系统!!!

晕 这个也要重装啊 我是用费尔的文件抑制生成器 结束SYS32下2个文件 然后把注册表里的删掉 几分钟就搞定了 再按照16楼 的方法清理清理

沉了阿，高手呢！！！

我今天用置顶贴，弄走了该死的7939！！！
但是我电脑的病毒还是在阿！！55555
是什么Trojan.PSW.QQpass,Trojan.PSW.WoWar,还有Trojan.PSW.LMir.atc
怎么办啊，5555555555

让你扫日志你不扫，就在这闲聊，汗死

23楼教训得是啊，我这就来啦
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\ChinaNet\VnetClient.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\office2003\OFFICE11\WINWORD.EXE
D:\新建文件夹\Hijackthis1991\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "D:\播放器\暴风影音\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [WangWang] ; "D:\淘宝旺\淘宝旺旺\WangWang.EXE"
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cn_spi32.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBB6D5B4-91B9-459A-91B0-D56E32F8332B}: NameServer = 61.187.91.18 202.103.96.68
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

555555555555555。有哪位高手帮我看看阿？感激不尽阿！！！！！

说了一大堆，你说的2个毒我一个也没看到

不会吧！