袁氏家谱网--

标题: 关于RealPlayer.exe这个病毒的查杀 [打印本页]

作者: 资友    时间: 2006-9-5 08:36
标题: 关于RealPlayer.exe这个病毒的查杀
  realplayer.exe不是播放器是病毒
  一种病毒,其主进程叫做:realplayer.exe,主页被篡改为7939.com,如果防火墙拒绝修改主页,它会反复要求修改,一直不停。我为了做事,只好屈服让它修改,反正我已经不用IE做浏览器了,我安装了代替IE的绿色软件Maxthon(原名MYIE2),昨晚没有认真的去杀那个毒。总结如下:

  中毒之后最明显之处就是在system32目录下会有一个名为realplayer.exe的文件,此文件即使结束进程也无法删除,再来看一下注册表,会发现此路径的变化:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.7939.com/

------------------------------------------------------------------
分析realplayer.exe病毒
Trojan.Win32.StartPage.n
破坏方法:木马病毒,在系统目录下,文件名为realplayer.exe 。

修改注册表项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wintask : 文件名
这样病毒能随开机而启动。

到网上下载病毒文件到本地执行。

连接并攻击韩国雅虎主机www.yahoo.co.kr 。
--------------------------------------------------------------------

关于RealPlayer.exe这个病毒的查杀

  最近常发现有人问起这个木马的清除方法,所以自己看了一下。

先说说病毒的行为...
病毒会释放两个文件,分别是:
%SYSTEM%\Realplayer.exe (UPX加壳,其MD5为629d485605c05b8e7f97c941c98fb2b9)
%SYSTEM%\brlmon.dll (UPX加壳,其MD5为9b5cfff6b750e9b6bd21f2548e810e59)
如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ,那么病毒会自己建立%Program Files%\Tencent\QQ目录。
临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar,实际上这个就是那个Realplayer.exe,扩展名不同罢了。

添加如下注册表键值:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"


  好了,现在说说怎么清除...
要说怎么清除,我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键,此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。
知道了就简单了,打开任务管理器或者其他进程管理工具,然后结束掉Realplayer.exe和Explorer.exe进程(桌面会消失),接着重新运行Explorer.exe(方法是任务管理器的“文件—新建任务”那里输入Explorer.exe)。
之后我们就可以删除上面说的病毒生成的文件和注册表键值。恢复IE主页。
不需要重新启动,病毒就全部清除干净了。

8.31更新:发现变种,brlmon.dll变身为RavMon.dll,清除方法不变。中毒是因为执行了v20060830.rar,看名称今后应该还会出现很多变种...

9.1更新:发现变种,brlmon.dll变身为Rsvtub.dll,清除方法不变。中毒是因为执行了v20060831.rar,看名称今后应该还会出现很多变种...

今后将不再跟进此病毒的变种


作者: 资友    时间: 2006-9-5 09:15
标题: 这问题也越来越多人求助了...造成主页被...
这问题也越来越多人求助了...造成主页被修改是因为 realplayer.exe
此病毒好象会使 IceSword 和 killbox 无法打开..
瑞星杀毒软件可杀..但是重启后还会有...
-------------------------------------------------------------------------
病毒分析:
运行realplayer.exe 后
发现在C:\\windows\\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\\..\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
O4 - 启动项HKLM\\\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
达到开机启动的目的

清除方法:
一、专杀清除
a) 下载附件7939.zip到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机

你会发现在%SYSTEMDRIVE% (一般C:\\ ) 下,会多了一个Suspect file的文件夹,删除就可以了

01/09更新
-刚刚发现DLL名称更新到 Rsvtub.dll,不用更新BFU Script即可把档案删除(移到Suspect file文件夹)

02/09更新
-这次DLL没变,只是增加另一个Reg Key
HKLM\\SOFTWARE\\Microsoft\\Baidu

BFU Script 已经更新了,可以删除这个Key,未更新前的Script还是可以成功清除这个新版本(但不会删HKLM\\SOFTWARE\\Microsoft\\Baidu)

The attached BFU script is written by Krazaf/tkabc....

卡卡无法上传附件...提供几个下载地址:
http://free.ys168.com/?mopery
http://free.ys168.com/?newcenturysun 这俩个有流量限制二个小时只有20M

http://space.uwants.com/batch.download.php?aid=86320
此下载连接由作者tkabc 提供...再再次感谢tkabc..
by:mopery
-------------------------------------------------------------------------


二、手工清除
双击我的电脑,工具,文件夹选项,查看,单击选取\"显示隐藏文件或文件夹\" 并清除\"隐藏受保护的操作系统文件(推荐)\"前面的钩。在提示确定更改时,单击“是” 然后确定
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\\WINDOWS\\system32\\Realplayer.exe和C:\\WINDOWS\\system32\\brlmon.dll 或者C:\\WINDOWS\\System32\\RavMon.dll或者C:\\WINDOWS\\system32\\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\\Windows\\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\\WINDOWS\\system32\\brlmon.dll或者C:\\WINDOWS\\System32\\RavMon.dll或者C:\\WINDOWS\\system32\\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\\..\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
O4 - 启动项HKLM\\\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft NT
和HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\RunDown
HKLM\\SOFTWARE\\Microsoft\\Baidu

整个项目 
6.打开C:\\Documents and Settings\\用户名\\Local Settings\\Temp
寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.最后记得一定要将主页改回来

附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\\..\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
O4 - 启动项HKLM\\\\Run: [Realplayer.exe] C:\\WINDOWS\\system32\\Realplayer.exe
挑钩 点击下面的修复 即可

另外请大家打全系统补丁 可能这个病毒是通过系统漏洞传播的
此病毒变种很多 且每天更新 如果在出现变种请下载上面所说的 专杀 查杀

(摘自http://forum.ikaka.com/topic.asp?board=28&artid=8157088)




欢迎光临 袁氏家谱网-- (http://yuanscn.com/bbs/) Powered by Discuz! X3.2