关于RealPlayer.exe这个病毒的查杀

　　realplayer.exe不是播放器是病毒
　 一种病毒，其主进程叫做：realplayer.exe，主页被篡改为7939.com，如果防火墙拒绝修改主页，它会反复要求修改，一直不停。我为了做事，只好屈服让它修改，反正我已经不用IE做浏览器了，我安装了代替IE的绿色软件Maxthon（原名MYIE2），昨晚没有认真的去杀那个毒。总结如下：

　　中毒之后最明显之处就是在system32目录下会有一个名为realplayer.exe的文件，此文件即使结束进程也无法删除，再来看一下注册表，会发现此路径的变化：
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.7939.com/

------------------------------------------------------------------
分析realplayer.exe病毒
Trojan.Win32.StartPage.n
破坏方法：木马病毒，在系统目录下，文件名为realplayer.exe 。

修改注册表项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wintask : 文件名
这样病毒能随开机而启动。

到网上下载病毒文件到本地执行。

连接并攻击韩国雅虎主机www.yahoo.co.kr 。
--------------------------------------------------------------------

关于RealPlayer.exe这个病毒的查杀

　　最近常发现有人问起这个木马的清除方法，所以自己看了一下。

先说说病毒的行为...
病毒会释放两个文件，分别是：
%SYSTEM%\Realplayer.exe （UPX加壳，其MD5为629d485605c05b8e7f97c941c98fb2b9）
%SYSTEM%\brlmon.dll （UPX加壳，其MD5为9b5cfff6b750e9b6bd21f2548e810e59）
如果系统中没有安装QQ或者QQ没安装在%Program Files%\Tencent\QQ，那么病毒会自己建立%Program Files%\Tencent\QQ目录。
临时文件夹中%TEMP%会有病毒生成的文件v20060825.rar，实际上这个就是那个Realplayer.exe，扩展名不同罢了。

添加如下注册表键值：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"


　　好了，现在说说怎么清除...
要说怎么清除，我们必须注意这个文件brlmon.dll。这个文件是清除病毒的关键，此文件会插入到Explorer.exe进程中,通过ProtectionExe函数保护病毒体,主要是保护它的启动项不被删除掉。
知道了就简单了，打开任务管理器或者其他进程管理工具，然后结束掉Realplayer.exe和Explorer.exe进程（桌面会消失），接着重新运行Explorer.exe（方法是任务管理器的“文件—新建任务”那里输入Explorer.exe）。
之后我们就可以删除上面说的病毒生成的文件和注册表键值。恢复IE主页。
不需要重新启动，病毒就全部清除干净了。

8.31更新：发现变种，brlmon.dll变身为RavMon.dll，清除方法不变。中毒是因为执行了v20060830.rar，看名称今后应该还会出现很多变种...

9.1更新：发现变种，brlmon.dll变身为Rsvtub.dll，清除方法不变。中毒是因为执行了v20060831.rar，看名称今后应该还会出现很多变种...

今后将不再跟进此病毒的变种