清除木马realplayer.exe

============================================================================

怀疑机器中木马了，可是最2006-9-8版的卡巴和EWIDO一直没有报警，也没有查处异常，端口开放也很正常，不过今天终于被我手工逮到了这个新出现的木马。现发出来提醒各位朋友小心，如有不正确之处，还请指出。

由于杀毒软件查不出来，因此不知道如何命名。先说说病毒的行为...
病毒会产生两个文件，分别是：
..\system32\Realplayer.exe
..\system32\brlmon.dll

如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ，那么病毒会自己建立%Program Files%\Tencent\QQ目录。
临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar，实际上这个就是那个Realplayer.exe，扩展名不同罢了。（有些机器无此两项症状）

添加如下注册表键值：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"

[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"（有些机器无此症状）

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"（有些机器无此症状）

现在说说怎么清除，我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键，此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。
知道了就简单了，打开任务管理器或者其他进程管理工具，然后结束掉Realplayer.exe和Explorer.exe进程（桌面会消失），接着重新运行Explorer.exe（方法是任务管理器的“文件—新建任务”那里输入Explorer.exe）。
之后我们就可以删除上面说的病毒生成的文件和注册表键值。恢复IE主页。
不需要重新启动，病毒就全部清除干净了。

8.31更新：发现变种，brlmon.dll变身为RavMon.dll，清除方法不变。中毒是因为执行了v20060830.rar，看名称今后应该还会出现很多变种...

9.1更新：发现变种，brlmon.dll变身为Rsvtub.dll，清除方法不变。中毒是因为执行了v20060831.rar，看名称今后应该还会出现很多变种...

0902版的变种生成的两个文件是：Rsvtub.dll，realplayer.exe，v20060902.rar

此病毒为QQ盗号木马，据说会连接并攻击韩国雅虎主机www.yahoo.co.kr，并把IE浏览器的首页设置为7939.com，并且每隔2秒钟就检查一次，如果被用户修改则将其改回，使用户无法手工恢复成正常首页（由于用了多种软件保护IE，所以主页并未被修改.）

欢迎光临午时栏社区	高先网络	QQ远程协助留言	反回首页
软件学习使用栏目	病毒分析查杀栏目	中小学幼儿栏目	英语会话栏目

清除木马realplayer.exe ============================================================================ 怀疑机器中木马了，可是最2006-9-8版的卡巴和EWIDO一直没有报警，也没有查处异常，端口开放也很正常，不过今天终于被我手工逮到了这个新出现的木马。现发出来提醒各位朋友小心，如有不正确之处，还请指出。由于杀毒软件查不出来，因此不知道如何命名。先说说病毒的行为... 病毒会产生两个文件，分别是： ..\system32\Realplayer.exe ..\system32\brlmon.dll 如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ，那么病毒会自己建立%Program Files%\Tencent\QQ目录。临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar，实际上这个就是那个Realplayer.exe，扩展名不同罢了。（有些机器无此两项症状）添加如下注册表键值： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Realplayer.exe" = "%SYSTEM%\Realplayer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Realplayer.exe" = "%SYSTEM%\Realplayer.exe" [HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run] "Realplayer.exe" = "%SYSTEM%\Realplayer.exe"（有些机器无此症状） [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon] "Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info] "vvad" = "0"（有些机器无此症状）现在说说怎么清除，我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键，此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。知道了就简单了，打开任务管理器或者其他进程管理工具，然后结束掉Realplayer.exe和Explorer.exe进程（桌面会消失），接着重新运行Explorer.exe（方法是任务管理器的“文件—新建任务”那里输入Explorer.exe）。之后我们就可以删除上面说的病毒生成的文件和注册表键值。恢复IE主页。不需要重新启动，病毒就全部清除干净了。 8.31更新：发现变种，brlmon.dll变身为RavMon.dll，清除方法不变。中毒是因为执行了v20060830.rar，看名称今后应该还会出现很多变种... 9.1更新：发现变种，brlmon.dll变身为Rsvtub.dll，清除方法不变。中毒是因为执行了v20060831.rar，看名称今后应该还会出现很多变种... 0902版的变种生成的两个文件是：Rsvtub.dll，realplayer.exe，v20060902.rar 此病毒为QQ盗号木马，据说会连接并攻击韩国雅虎主机www.yahoo.co.kr，并把IE浏览器的首页设置为7939.com，并且每隔2秒钟就检查一次，如果被用户修改则将其改回，使用户无法手工恢复成正常首页（由于用了多种软件保护IE，所以主页并未被修改.）


回到顶部\|