我中了realplayer.exe病毒,瑞星无法清除,我百度一下,找到清除方法如下:
(一)首先按CTRL+ALT+DEL在任务管理中把进程Realplayer.exe结束掉!
(二)打开我的电脑!选工具——文件夹选项——查看(快捷键按ALT+T再按O)中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中!
(三)把WINDOWS\system32\Realplayer.exe找到!按CTRL+F查找Realplayer.exe更快!(这就是一个木马脚本程序,没在安全模式下删除不掉,经过我反复实验终于找到删除的办法)
打开任务管理把进程中的explorer.exe结束掉,接着桌面变消失了,不怕!选中任务管理器的“文件(F)”——“新任务(运行。。)(N)”然后运行explorer.exe桌面就又出来了!接着把在system 32中的Realplayer.exe删除
(四)在开始——运行中输入regedit按CTRL+F查找Realplayer.exe把查到的值删掉再按F3查。知道把所有的值都删完!
(五)运行“regedit”命令,按以下路径: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 显灰到这个项 然后就在右边就可以找到: Start Page 这个键值了 双击改成"
about:blank”
然后右击Internet Explorer选属性点使用空白就好了!(接下来如果不是菜鸟就在注册表中搜索w w w.7939 .com把查到的项,值都删除掉!)
至此大功告成!
可是不行,第二步无法完成,因为无法显示隐藏文件,我又百度下方法,如下:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
还是不行,键值改了就又回去了,也删除不掉.....
请高手解答啊 ......
扫描如下
Logfile of HijackThis v1.99.1
Scan saved at 1:02:02, on 2006-10-3
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
F:\常用软件\HijackThis.exe
O1 - Hosts: 59.34.148.98 www.hao123.com
O1 - Hosts: 59.34.148.98 www.4199.com
O1 - Hosts: 59.34.148.98 www.9505.com
O1 - Hosts: 59.34.148.98 www.7322.com
O1 - Hosts: 218.5.76.175 www.huoche.com.cn
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\UserData\IEHelper_5001.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D619FE8-8CA5-4BF3-8C9C-099346A56D1B}: NameServer = 218.30.19.40 61.134.1.4
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
