realplayer.exe查杀方法

realplayer.exe查杀方法

　　该病毒是利用浏览器的漏洞进行传播，我们在上网的时候最好用最新版的浏览器浏览网页，再也不为中病毒而烦恼！最新版下载地址：
下载带有 Google 工具栏...
   

　　最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个qq的盗号木马，而且伪装成为real的进程 比较可恶。

　　运行realplayer.exe 后

　　发现在c:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入explorer进程 还好插入的是explorer进程 比较好弄

　　两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件

　　并且在注册表项上添加了2个启动项

　　o4 - hkcu\..\run: c:\windows\system32\realplayer.exe

　　o4 - 启动项hklm\\run: c:\windows\system32\realplayer.exe

　　达到开机启动的目的

　　清除方法如下

　　打开任务管理器 结束realplayer.exe

　　然后结束 explorer进程

　　此时桌面可能没了 不要担心

　　然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到

　　c:\windows\system32\realplayer.exe和c:\windows\system32\brlmon.dll 右键删除该文件

　　然后文件-新建任务-浏览 打开c:\windows\explorer.exe　此时　桌面又回来了

　　结束explorer.exe是为了删除那个c:\windows\system32\brlmon.dll　否则删不掉

　　然后　用hijackthis修复

　　o4 - hkcu\..\run: c:\windows\system32\realplayer.exe

　　o4 - 启动项hklm\\run: c:\windows\system32\realplayer.exe

　　这两项

　　修复注册表

　　开始 运行 输入regedit 删除hkey_local_machine\software\microsoft nt

　　和hkey_local_machine\software\microsoft\rundown

　　整个项目　

　　至此　该病毒就被干掉了

　　附：hijackthis下载地址 hijackthis v1.99.1 简体中文版

　　修复方法：打开hijackthis 选择 仅执行扫描系统 然后在窗口里把

　　o4 - hkcu\..\run: c:\windows\system32\realplayer.exe

　　o4 - 启动项hklm\\run: c:\windows\system32\realplayer.exe

　　挑钩 点击下面的修复 即可