7939.com分析如下...
病毒分析:
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
手工清除:
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu
整个项目
6.打开C:\Documents and Settings\用户名\Local Settings\Temp
寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.
最后记得一定要将主页改回来 附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可
此病毒变种很多 且每天更新 如果在出现变种请下载
专杀 查杀..
--------------------------------------------------------------------------
7b.com.cn 分析如下..
IE首页被锁定为 7b.com.cn 的问题....
看过一下样本,怀疑跟realplayer.exe(7939.com),是同一个作者
7b.com.cn 被挂了一个MS06-014 Exploit,用来下载start.exe
1. 当 start.exe 运行时,释放以下档案
-%PROGRAMFILES%\Tencent\QQ\Messenger.exe (跟start.exe一样)
-%PROGRAMFILES%\Tencent\QQ\RTraveler.dll
-%SYSTEM%\Maxthonz.dll
RTraveler.dll会载入到Explorer.exe
2. 加启动项
Realplayer.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
Messenger.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
Messager.exe = %PROGRAMFILES%\Tencent\QQ\Messenger.exe
到
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
3. 加了以下的Registry Key
HKLM\SOFTWARE\Microsoft NT
4. 注册Maxthonz.dll,新增以下Registry keys
HKEY_CLASSES_ROOT\CLSID\{0EB00690-8FA1-11D3-96C7-829E3EA50C29}
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html ( CLSID指向{0EB00690-8FA1-11D3-96C7-829E3EA50C29} )
5. 修改IE主页
HKCU\Software\Microsoft\Internet Explorer\Main
"Start Page"=hxxp://7b.com.cn/
6. 读取hxxp://count.checkthisdoor.com上的一个HTML,检查有没有新版本的EXE + 要修改的主页 + 检查其他设定
如果有更新,就从hxxp://file.checkthisdoor.com/下载一个rar (其实是一个EXE)到 %TEMP%
----------------------------------------------------------------------------
7939.com和7b.com.cn 专杀....
专杀清除
a) 下载附件 7939_7b_v1.zip 到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939_7b_v1.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式和浏览器(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机
你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了
更新记录:
08/10 - 加入 hosts 修复部份,新增部份新变种的行为
The attached BFU script is written by Krazaf/tkabc....
专杀下载地址:http://mopery.hits.io/7939_7b_v2.zip
在此感谢作者 TKabc
by:mopery
