这病毒 我是在朋友家 拿 “瑞星保姆”给他瑞星升级的时候
中的 因为她没有正版瑞星 以前我也用过 “瑞星保姆”这个软件
感觉还挺好用的 不知道怎么那天去了以后 用这个给他升级以后就
中了 这个病毒!! 莫非这软件有问题? 哪位大哥能否去测试下!!小弟是不敢了 不知道在用的话 会在中什么病毒! 我敢肯定是用了这个软件升级的时候才中的这个 病毒!!希望高手大哥 能帮我搞清楚这个问题!!谢谢了!
还有就是我发现 这个病毒中了以后如果发现不及时的话 就会出现变种!!
到后面就难以删除了!!
我是用这种 方法删除的 不过大家要快 不然会出现变种!!
病毒会释放两个文件,分别是:
%SYSTEM%\Realplayer.exe (UPX加壳,其MD5为629d485605c05b8e7f97c941c98fb2b9)
%SYSTEM%\brlmon.dll (UPX加壳,其MD5为9b5cfff6b750e9b6bd21f2548e810e59)
如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ,那么病毒会自己建立%Program Files%\Tencent\QQ目录。
临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar,实际上这个就是那个Realplayer.exe,扩展名不同罢了。
添加如下注册表键值:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"
好了,现在说说怎么清除...
要说怎么清除,我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键,此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。
知道了就简单了,打开任务管理器或者其他进程管理工具,然后结束掉Realplayer.exe和Explorer.exe进程(桌面会消失),接着重新运行Explorer.exe(方法是任务管理器的“文件—新建任务”那里输入Explorer.exe)。
之后我们就可以删除上面说的病毒生成的文件和注册表键值。
不需要重新启动,病毒就全部清除干净了。
