这是我的页面头部

手刃“代理木马下载器” 病毒


关键词: 手动清除“代理木马下载器”  realplayer.exe
实验环境:windows2000

早上打开电脑,突然发现主页被修改成了http://www.7939.com。
在“Internet 选项”中把主页修改成空白页后,过几分钟打开ie,http://www.7939.com 仍然在向我微笑。
中毒了。
打开“任务管理器”,在“进程”选项卡中看到了一个可疑项:realplayer.exe
我的电脑上没有安装real播放器,所以这个进程肯定是病毒了。结束此进程后,“开始”-->“运行regeidt” 在注册表分支
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下看到了realplayer.exe的藏身之处“c:\winnt\system32”。
不用商量,删吧。进入system32文件夹,左找右找找不到这个东东。确信已经在“文件夹选项”中勾选了“显示所有的文件和文件夹”和关闭了“隐藏受保护的文件系统”选项。
“开始”,运行“cmd”,执行命令

cd c:\winnt\system32   // 将"c:\winnt\system32"设为当前目录
attrib realplayer.exe   // 显示realplayer.exe的属性

呵呵,狐狸尾巴出来了,显示如下:
  SH   C:\WINNT\system32\realplayer.exe  //SH意思是文件是系统(system)和隐藏(hidden)的,难怪找不着呢。
"SH"属性的文件用"del"是删不掉的。所以需要先去除"SH"属性:

ATTRIB --h realplayer.exe   // "-" 的意思就是去除
ATTRIB realplayer.exe  //再显示一下realplayer.exe 的属性


晕,没有效果。显示仍然是:
  SH   C:\WINNT\system32\realplayer.exe
请师傅吧。要删除exe文件,还得请killbox 出山。

[软件名称] Pocket KillBox v2.0.0.881 
一款小巧的可删除硬盘中任意文件的小工具。主要用途就是 清除那些正在运行而无法删除的文件(类似病毒、木马什么的)。不用为 清除某些病毒或木马文件而进入黑洞洞的DOS界面了。 软件另外带了清理系统垃圾文件,进程管理,调用资源管理器和注册表, 查看系统服务,..
[下载地址]霏凡软件站 http://www.crsky.com/soft/4640.html

在"Full Path of File to Delete"下面输入"c:\winnt\system32\realplayer.exe"
(windowsXP下是"c:\windows\system32\realplayer.exe")
注意不要写错。没有写错的时候,下面会有一行小字显示文件名。如图

记得选中下面的"Delete on Reboot",要不删不掉这坏东东呢。
然后你的电脑就重启了。再开机,这个东东就没有了。在“internet选项”中把主页改回来。

确是病毒无疑了。google一下。这个进程还在其它地方做了手脚。按中关村的指点,在cmd中执行以下命令

C:\WINNT\system32>attrib brlmon.dll
找不到文件 
- brlmon.dll

C:\WINNT\system32
>attrib ravmon.dll
找不到文件 
- ravmon.dll

C:\WINNT\system32
>attrib rsvtub.dll
   SH      C:\WINNT\system32\Rsvtub.dll 

只有 rsvtub.dll。
在任务管理器中结束桌面进程explorer.exe。
在cmd中执行

C:\WINNT\system32>attrib rsvtub.dll --
 C:\WINNT\system32
>del rsvtub.dll

如果你的电脑有上面其它两个文件,操作相同。
再次调出“任务管理器”,选择“文件”-->"打开",输入"explorer",你的桌面又回来了。
最后的工作是把注册表中相关的项目删除。
开始,运行“regedit”,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,删除“realplayer.exe”字串项

删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]整个分支
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]整个分支(我这里没有这个分支)
上面删除注册表项的过程,你也可以通过把下面注册表文件来实现。将以下代码保存成clear.reg,双击就OK了。(注意行尾的回车不能省略)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"=-
[
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
[
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]



好了,收工。

 

 

 

posted @ 2006-09-30 12:21  范晨鹏  阅读(469)  评论(0编辑  收藏  举报