realplayer.exe查杀方法
<BR>
<P> 最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马,而且伪装成为real的进程 比较可恶。</P>
<P> 运行realplayer.exe 后</P>
<P> 发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄</P>
<P> 两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件</P>
<P> 并且在注册表项上添加了2个启动项</P>
<P> O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> 达到开机启动的目的</P>
<P> 清除方法如下</P>
<P> 打开任务管理器 结束Realplayer.exe</P>
<P> 然后结束 Explorer进程</P>
<P> 此时桌面可能没了 不要担心</P>
<P> 然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到</P>
<P> C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件</P>
<P> 然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了</P>
<P> 结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll 否则删不掉</P>
<P> 然后 用hijackthis修复</P>
<P> O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> 这两项</P>
<P> 修复注册表</P>
<P> 开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT</P>
<P> 和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown</P>
<P> 整个项目 </P>
<P> 至此 该病毒就被干掉了</P>
<P> 附:hijackthis下载地址 <A href="http://down.ddvip.com/view/11518472423792.html" target=_blank>HijackThis V1.99.1 简体中文版</A></P>
<P> 修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把</P>
<P> O4 - HKCU\..\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> O4 - 启动项HKLM\\Run: C:\WINDOWS\system32\Realplayer.exe</P>
<P> 挑钩 点击下面的修复 即可</P> <BR>
页:
[1]