• 手刃“代理木马下载器” 病毒


    关键词: 手动清除“代理木马下载器”  realplayer.exe
    实验环境:windows2000

    早上打开电脑,突然发现主页被修改成了http://www.7939.com。
    在“Internet 选项”中把主页修改成空白页后,过几分钟打开ie,http://www.7939.com 仍然在向我微笑。
    中毒了。
    打开“任务管理器”,在“进程”选项卡中看到了一个可疑项:realplayer.exe
    我的电脑上没有安装real播放器,所以这个进程肯定是病毒了。结束此进程后,“开始”-->“运行regeidt” 在注册表分支
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下看到了realplayer.exe的藏身之处“c:\winnt\system32”。
    不用商量,删吧。进入system32文件夹,左找右找找不到这个东东。确信已经在“文件夹选项”中勾选了“显示所有的文件和文件夹”和关闭了“隐藏受保护的文件系统”选项。
    “开始”,运行“cmd”,执行命令

    cd c:\winnt\system32   // 将"c:\winnt\system32"设为当前目录
    attrib realplayer.exe   // 显示realplayer.exe的属性

    呵呵,狐狸尾巴出来了,显示如下:
      SH   C:\WINNT\system32\realplayer.exe  //SH意思是文件是系统(system)和隐藏(hidden)的,难怪找不着呢。
    "SH"属性的文件用"del"是删不掉的。所以需要先去除"SH"属性:

    ATTRIB --h realplayer.exe   // "-" 的意思就是去除
    ATTRIB realplayer.exe  //再显示一下realplayer.exe 的属性


    晕,没有效果。显示仍然是:
      SH   C:\WINNT\system32\realplayer.exe
    请师傅吧。要删除exe文件,还得请killbox 出山。

    [软件名称] Pocket KillBox v2.0.0.881 
    一款小巧的可删除硬盘中任意文件的小工具。主要用途就是 清除那些正在运行而无法删除的文件(类似病毒、木马什么的)。不用为 清除某些病毒或木马文件而进入黑洞洞的DOS界面了。 软件另外带了清理系统垃圾文件,进程管理,调用资源管理器和注册表, 查看系统服务,..
    [下载地址]霏凡软件站 http://www.crsky.com/soft/4640.html

    在"Full Path of File to Delete"下面输入"c:\winnt\system32\realplayer.exe"
    (windowsXP下是"c:\windows\system32\realplayer.exe")
    注意不要写错。没有写错的时候,下面会有一行小字显示文件名。如图

    记得选中下面的"Delete on Reboot",要不删不掉这坏东东呢。
    然后你的电脑就重启了。再开机,这个东东就没有了。在“internet选项”中把主页改回来。

    确是病毒无疑了。google一下。这个进程还在其它地方做了手脚。按中关村的指点,在cmd中执行以下命令

    C:\WINNT\system32>attrib brlmon.dll
    找不到文件     - brlmon.dll

    C:\WINNT\system32    >attrib ravmon.dll
    找不到文件     - ravmon.dll

    C:\WINNT\system32    >attrib rsvtub.dll
       SH      C:\WINNT\system32\Rsvtub.dll 

    只有 rsvtub.dll。
    在任务管理器中结束桌面进程explorer.exe。
    在cmd中执行

    C:\WINNT\system32>attrib rsvtub.dll --
     C:\WINNT\system32    >del rsvtub.dll

    如果你的电脑有上面其它两个文件,操作相同。
    再次调出“任务管理器”,选择“文件”-->"打开",输入"explorer",你的桌面又回来了。
    最后的工作是把注册表中相关的项目删除。
    开始,运行“regedit”,依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”,删除“realplayer.exe”字串项

    删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]整个分支
    删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]整个分支(我这里没有这个分支)
    上面删除注册表项的过程,你也可以通过把下面注册表文件来实现。将以下代码保存成clear.reg,双击就OK了。(注意行尾的回车不能省略)

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Realplayer.exe"=-
    [    -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
    [    -HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown]



    好了,收工。


    范晨鹏
    ------------------
    软件是一种态度
    成功是一种习惯
  • 相关阅读:
    部署yearning1.3
    git常用指令
    U盘centos7系统安装http://www.augsky.com/599.html
    C语言与SQL SERVER数据库(转)
    C连接MySQL数据库开发之Windows环境配置及测试(转)
    vs2012中添加lib,.h文件方法(原)
    如何用Visual Studio 2013 (vs2013)编写C语言程序 (转)
    Java值传递以及引用的传递、数组的传递!!
    ssh整合需要那些jar
    类加载器
  • 原文地址:https://www.cnblogs.com/diylab/p/519146.html
Copyright © 2020-2023  润新知