POPPUR爱换

标题: IE首页改不过来了，求救。！ [打印本页]

作者: kyk 时间: 2006-8-30 11:44
标题: IE首页改不过来了，求救。！
在桌面的IE图标右键属性里改成空白后，过来一会又变成www.7939.com了。烦死了，请问在那里可以直接删除IE里面这些相关的文件啊。。

作者: bbap 时间: 2006-8-30 12:15
安全模式下system32里有个realplayer.exe干掉

作者: wqz333 时间: 2006-8-30 12:32
在注册表里查找7939,干掉,
在系统盘查找7939,干掉.

作者: benbenboom 时间: 2006-8-30 13:11
肯定是中毒了……

先杀毒。

作者: 流氓兔116 时间: 2006-8-30 13:23
下个超级兔子搞死他

作者: kyk 时间: 2006-8-30 15:56
好像是中毒了。
杀了好像没用呢

作者: rembrandt 时间: 2006-8-30 19:52
试下"魔法兔子"这个软件,卸载那些流氓软件看看

作者: SunYanZiMM 时间: 2006-8-30 21:46

原帖由 bbap 于 2006-8-30 12:15 发表
安全模式下system32里有个realplayer.exe干掉

正解，不进安全模式，直接改注册表无效滴　＃。

作者: e夜疯留 时间: 2006-8-30 22:08
提示: 作者被禁止或删除内容自动屏蔽

作者: ris88 时间: 2006-8-30 23:16
过来偷师一下~~

作者: 小李古刀 时间: 2006-8-31 09:45
用超级兔子。。进安全模式下。清理　＃

作者: 流氓兔116 时间: 2006-8-31 11:37
楼主的问题解决了没

作者: kyk 时间: 2006-8-31 14:53
还没解决呢。在SYS32里没看到有REALPLAY.EXE这个文件啊，难道一定要在安全模式下才看的到？

作者: mjack 时间: 2006-8-31 15:16
http://www.crsky.com/soft/8663.html

作者: kyk 时间: 2006-8-31 16:02
谢谢LS的。另外在问下Realplayer.EXE是不是病毒啊。
超级兔子好像也带了个7939的东西啊?

作者: 笨笨猪520 时间: 2006-8-31 16:04
顶~~~~~~~~~~

作者: 流氓兔116 时间: 2006-8-31 22:05

原帖由 kyk 于 2006-8-31 16:02 发表
谢谢LS的。另外在问下Realplayer.EXE是不是病毒啊。
超级兔子好像也带了个7939的东西啊?

Realplayer.EXE不是
是REAI播放软件呀

作者: cwindl 时间: 2006-8-31 22:53
我的刚中了，下午刚搞定，给你个方法。
原帖发表在卡卡社区我现在转发一下希望能为你帮一点忙
最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下这是个QQ的盗号木马，而且伪装成为real的进程比较可恶。
运行realplayer.exe 后
发现在C:windowssystem32下生成了realplayer.exe和brlmon.dll（RavMon.dll）两个文件且brlmon.dll（RavMon.dll）插入Explorer进程还好插入的是Explorer进程比较好弄
两个东西相互监视所以即便结束了 realplayer.exe进程也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
达到开机启动的目的
清除方法如下
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹勾上
打开任务管理器结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了不要担心
然后点击任务管理器上方的菜单栏中的文件-新建任务-浏览找到
C:WINDOWSsystem32Realplayer.exe和C:WINDOWSsystem32brlmon.dll 或者C:WINDOWSSystem32RavMon.dll右键删除该文件
然后文件-新建任务-浏览打开C:WindowsExplorer.exe　此时　桌面又回来了
结束Explorer.exe是为了删除那个C:WINDOWSsystem32brlmon.dll（C:WINDOWSSystem32RavMon.dll）　否则删不掉
然后　用hijackthis修复
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
这两项
修复注册表
开始运行输入regedit 删除HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT
和HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown
整个项目　
最后记得一定要将主页改回来

附：hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法：打开hijackthis 选择仅执行扫描系统然后在窗口里把
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
挑钩点击下面的修复即可

作者: kyk 时间: 2006-9-1 00:02
谢谢楼上的，怪不得我QQ前段时间被盗了，这些可恶的黑客！

作者: 流氓兔116 时间: 2006-9-1 09:47
楼主的问题应该已经解决了吧

欢迎光临 POPPUR爱换 (https://we.poppur.com/)