瑞星卡卡安全论坛

前不久中了realplayer病毒，首页被篡改成http://www.7939.com，按照置顶贴的方式杀了，第二天一上网又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。

    解决方法：先按置顶贴的办法删除文件和注册表项（http://forum.ikaka.com/topic.asp?board=28&artid=8157088），然后找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）

    另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。

我打开了C:\WINDOWS\system32\drivers\etc目录下的hosts文件
发现里面只有一条东西``其他都没了``就一个IP`一个英文名字`

那个文件就应该是空的，全删了就行。

5555555555,楼上的大大看看我的贴子.我刚刚被它耍了

引用:

【沉睡补丁的贴子】前不久中了realplayer病毒，杀了第二天又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。     解决方法：找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）     另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。 ………………

老大,我打开文件了.可它里面就这些个东东:127.0.0.1      localhost.                      也照删不误吗?

谢谢楼主提供此方法,这两天被这病毒弄得郁闷,现在是不再弹出来了!!!!

楼上的我是将它删除了，这个病毒真几吧闹心，我重做系统3次，还是逃不过这个家伙。

请问下127.0.0.1 localhost到底能不能删除?

重做系统也没用,我了做了好几遍,还是弹出来

127.0.0.1 localhost可以删的，这个是指向本机的地址，没关系。如果只有这一条说明还没有被篡改。

【回复“yueying”的帖子】
不会吧,这样也行?

楼上的，我说的是真的，这2天我重做4次系统了，但是还是中了这个毒，不管是玩网络游戏还是QQ广告，都有可能中毒。

【回复“沉睡补丁”的帖子】
是麻烦！我最后没办法。。到安全模式下用卡卡助手把它的两个启动项给删除了。才没有了。。。不过它也不好用了。只好重新下了一个 real..

顶一下!

楼主老大啊，我中了个叫"realplay.exe"的病毒，重做了系统也不行，还是在任务管理器里自动出现这个名字的进程（我没有打开过REAL播放器啊），有时候会出现三个这样的进程，可是在电脑硬盘上搜索所有文件包括系统和隐藏文件都找不出，只有REAL软件的目录下的播放器程序realplay.exe。这是不是和你说的病毒一样的类似变种啊。