realplayer.exe查杀方法

admin · 发表于 2008-4-14 01:18:35

最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下这是个QQ的盗号木马，而且伪装成为real的进程比较可恶。
　　运行realplayer.exe 后
　　发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件且brlmon.dll插入Explorer进程还好插入的是Explorer进程比较好弄
　　两个东西相互监视所以即便结束了 realplayer.exe进程也无法删除这个文件
　　并且在注册表项上添加了2个启动项
　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　达到开机启动的目的
　　清除方法如下
　　打开任务管理器结束Realplayer.exe
　　然后结束 Explorer进程
　　此时桌面可能没了不要担心
　　然后点击任务管理器上方的菜单栏中的文件-新建任务-浏览找到
　　C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件
　　然后文件-新建任务-浏览打开C:\Windows\Explorer.exe　此时　桌面又回来了
　　结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll　否则删不掉
　　然后　用hijackthis修复
　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　这两项
　　修复注册表
　　开始运行输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
　　和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
　　整个项目　
　　至此　该病毒就被干掉了
　　附：hijackthis下载地址 <A href="http://down.ddvip.com/view/11518472423792.html" target=_blank>HijackThis V1.99.1 简体中文版</A>
　　修复方法：打开hijackthis 选择仅执行扫描系统然后在窗口里把
　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
　　挑钩点击下面的修复即可

账号		自动登录	找回密码
密码			注册账户

realplayer.exe查杀方法

相关帖子