前不久中了realplayer病毒，首页被篡改成http://www.7939.com，按照置顶贴的方式杀了，第二天一上网又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。

    解决方法：先按置顶贴的办法删除文件和注册表项（http://forum.ikaka.com/topic.asp?board=28&artid=8157088），然后找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）

    另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。

那个文件就应该是空的，全删了就行。

127.0.0.1 localhost可以删的，这个是指向本机的地址，没关系。如果只有这一条说明还没有被篡改。