星空网络

  • 星空网络
  • 新款
  • 网知

    • 中了7939 这个是最新变态变种了!!!

    作者&投稿:种荀 (若有异议请与网页底部的电邮联系)
    流氓病毒肆虐 数千用户首页被改7939。com提醒你:"流氓"病毒肆虐 数千用户首页被改7939.com

    8月29日,瑞星全球反病毒监测网截获一个修改用户IE浏览器首页的病毒,并命名为诡秘下载器变种CXW(Trojan.DL.Delf.cxw)病毒。瑞星反病毒专家介绍说,该病毒侵入用户电脑后,会把IE浏览器的首页设置为7939.com,并且每隔2秒钟就检查一次,如果被用户修改则将其改回,使用户无法手工恢复成正常首页。

    瑞星反病毒专家表示,目前无法通过技术手段确定该病毒的作者。而许多网友在网上发贴认为,该病毒非常可能与7939.com有关。专家认为,由于此类病毒往往是通过恶意网站散布,或者与某些软件进行捆绑欺骗用户下载安装,要想确定散布者并取得有关证据比较困难。

    记者登陆7939.com之后看到,该网站站长在博客中辩解说“7939网站无毒,也并无任何弹出”,但该博客中没有说到是否利用了软件捆绑手段、网站合作等方式进行推广。有业界人士认为,目前进行恶意推广的网站很少在自己的网页中放入恶意软件或病毒,这些推广往往通过合作网站、软件捆绑插件等形式来进行。

    瑞星技术部门对该病毒的分析表明,该病毒除了修改用户的首页之外,还会终止或影响多个安全软件的正常工作,从而使用户面临极大的安全风险。截至8月30日14:00,记者用“7939 流氓”在Google上搜索,已经能够搜到3210个网页。瑞星公司表示,已经收到数千中毒用户的求助。

    瑞星反病毒专家提醒广大用户,该类病毒一般通过恶意网站、软件捆绑插件等形式传播,近期用户应该采取以下措施进行防范:不要随意从网上下载软件,下载软件后及时用杀毒软件进行扫描;不要浏览不良网站。针对该病毒,瑞星公司已经升级,瑞星杀毒软件2006版18.42.12版及以上版本即可查杀该病毒。中毒用户也可登陆瑞星远程救助中心(http://help.rising.com.cn),寻求专家的帮助

    我推荐你去一个网站好不?
    那里的人很好,专门对付这种流氓软件
    我中了7939,他们有很热心解答,因为每个人的情况都不太一样,所以请发帖询问,并且附上360安全卫士的扫描报告(这个知道吗?就是装了这个软件以后,有一个“求助”的标志,然后会扫描系统,扫好以后的东西复制,贴过去就好~)
    网站放在参考答案里了

    http://www.hao123.com/redian/tongzhi.htm
    中毒后,去此处下载专杀即可

    7939新变种~

    7939.com分析如下...

    病毒分析:
    运行realplayer.exe 后
    发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
    realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
    并且在注册表项上添加了2个启动项
    O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    达到开机启动的目的

    手工清除:
    双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
    1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
    然后结束 Explorer进程
    此时桌面可能没了 不要担心
    2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
    C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
    3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
    (结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
    4.然后 用hijackthis修复
    O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    这两项
    5.修复注册表
    开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
    和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
    HKLM\SOFTWARE\Microsoft\Baidu

    整个项目
    6.打开C:\Documents and Settings\用户名\Local Settings\Temp
    寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
    7.最后记得一定要将主页改回来

    附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
    修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
    O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
    挑钩 点击下面的修复 即可

    此病毒变种很多 且每天更新 如果在出现变种请下载 专杀 查杀..

    . 结束 %System%\Realplayer.exe 进程MyPlaces(自我空间 自由展现)$EM3L r:c i'PF-Bd;v {
    MyPlaces(自我空间 自由展现);n1XoLA oY
    2. 结束 %Windows%\Explorer.exe 进程
    -i`\bE!M$DN1}GuestMyPlaces(自我空间 自由展现)0z3r ~2\,~k3V
    MyPlaces(自我空间 自由展现)%q"U+W0J`l
    3. 通过任务管理器或其它进程管理工具把 %Windows%\Explorer.exe 再运行起来,这样 %System%\brlmon.dll 就没有被加载了(当然可以使用cmd命令行的del命令来把他们删除)
    :Su |'at[ RGuestMyPlaces(自我空间 自由展现))g'w(||;e5}+P(m
    MyPlaces(自我空间 自由展现)]L$b;{8C![\
    4. 删除文件:MyPlaces(自我空间 自由展现)yz&wsZ\LD
    %System%\Realplayer.exe
    Q]raT8`2R9G!ZGuest%System%\brlmon.dll、Rsvtub.dll 、RavMon.dll
    Bm\bQ`#B j\blGuest(Rsvtub.dll 和RavMon.dll是新的变种,如果有 删除!)MyPlaces(自我空间 自由展现)\?z+P/Xw

    7@J:e)| k&q,F JGuestMyPlaces(自我空间 自由展现)s9y,[ H` WX6er

    4JHN;Ly N"|Guest
    'O,aKY(["J!tlGuest5. 删除病毒添加的启动项:
    0v cr'`1o{.lGuest[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]MyPlaces(自我空间 自由展现)K,n1b*|A*E
    "Realplayer.exe"="%System%\Realplayer.exe"
    i'e.}gy'dcGuest
    &l*_K#N,R\:z x"NGuestMyPlaces(自我空间 自由展现)8CXSrz@U)_(j
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]MyPlaces(自我空间 自由展现):n|,Wrd5g w
    "Realplayer.exe"="%System%\Realplayer.exe"
    4]L\0NIs%u5JGuestMyPlaces(自我空间 自由展现)#gc5O6X+s0G7^t
    MyPlaces(自我空间 自由展现)6b7AT$eR

    a!Y U i|D\bH,gH\b}Guest6. 删除病毒添加的注册表信息:MyPlaces(自我空间 自由展现)U}&N gr4Z4\_&I]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT]
    V&L Q4x J8Q"O\bx5a2HGuestMyPlaces(自我空间 自由展现)4` F&O*]Xr;{6Q"g6E
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown] MyPlaces(自我空间 自由展现)&VJ;b#o2ga6xa
    MyPlaces(自我空间 自由展现)2Nwbjn w*@

    9~*jiZ/bl2[cGuest7. 恢复IE主页
    Sa[,vg,V[4EGuest

    相关热门

    本文来自于网友投稿,若有事情请电邮联系。
    ai知识智能小记星空网络关于电脑网络、手机上网的知识学习网站

    联系方式:
    © 星空网络