|
|
我的刚中了,下午刚搞定,给你个方法。
原帖发表在卡卡社区 我现在转发一下 希望能为你帮一点忙
最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。
运行realplayer.exe 后
发现在C:windowssystem32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件 且brlmon.dll(RavMon.dll)插入Explorer进程 还好插入的是Explorer进程 比较好弄
两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
达到开机启动的目的
清除方法如下
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
打开任务管理器 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:WINDOWSsystem32Realplayer.exe和C:WINDOWSsystem32brlmon.dll 或者C:WINDOWSSystem32RavMon.dll右键删除该文件
然后文件-新建任务-浏览 打开C:WindowsExplorer.exe 此时 桌面又回来了
结束Explorer.exe是为了删除那个C:WINDOWSsystem32brlmon.dll(C:WINDOWSSystem32RavMon.dll) 否则删不掉
然后 用hijackthis修复
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
这两项
修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINESOFTWAREMicrosoft NT
和HKEY_LOCAL_MACHINESOFTWAREMicrosoftRunDown
整个项目
最后记得一定要将主页改回来
附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU..Run: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
O4 - 启动项HKLMRun: [Realplayer.exe] C:WINDOWSsystem32Realplayer.exe
挑钩 点击下面的修复 即可 |
|
IP卡
狗仔卡
发表于 2006-8-30 11:44
QQ好友和群
收藏
分享
好贴
烂贴
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主