我的主页被改成http://www.7939.com/了，怎么清理都弄不掉，请大家想想办法哈，谢谢了

显示全部楼层 · 2006-9-1 20:50:10

先说说病毒的行为...病毒会释放两个文件，分别是：%SYSTEM%\Realplayer.exe（UPX加壳，其MD5为629d485605c05b8e7f97c941c98fb2b9）%SYSTEM%\brlmon.dll（UPX加壳，其MD5为9b5cfff6b750e9b6bd21f2548e810e59）如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ，那么病毒会自己建立%Program Files%\Tencent\QQ目录。临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar，实际上这个就是那个Realplayer.exe，扩展名不同罢了。添加如下注册表键值：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]"vvad" = "0"好了，现在说说怎么清除...要说怎么清除，我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键，此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。知道了就简单了，打开任务管理器或者其他进程管理工具，然后结束掉Realplayer.exe和Explorer.exe进程（桌面会消失），接着重新运行Explorer.exe（方法是任务管理器的“文件—新建任务”那里输入Explorer.exe）。之后我们就可以删除上面说的病毒生成的文件和注册表键值。恢复IE主页。不需要重新启动，病毒就全部清除干净了。8.31更新：发现变种，brlmon.dll变身为RavMon.dll，清除方法不变。中毒是因为执行了v20060830.rar，看名称今后应该还会出现很多变种...9.1更新：发现变种，brlmon.dll变身为Rsvtub.dll，清除方法不变。中毒是因为执行了v20060831.rar，看名称今后应该还会出现很多变种...

千问 · 2006-9-1 20:50:10

下载呀虎助手,然后点IE修复专家,里面会有的,他会把主页改成空白页,你想变的话就去呀虎官网修改拉

千问 · 2006-9-1 20:50:10

被恶意植入了一个文件。解决办法。开机按F8，进入安全模式，（如果是win98开机按F5）进入c:\window\system32删除realplaer.exe文件，注意，这个不是real那个播放器的文件，图标有着很明显的差异。然后重启，开始--运行--msconfig 启动里面把realplear勾掉。然后运行--regedit搜索c:\window\system32\realplaer.exe 删除这个项重启，在桌面上的IE图标点右键属性，使用空白页。注意，realplaer这几个字母我记得不是很清楚，可能出现个别差异，你能看明白的。