我的Internet Explorer浏览器出了点问题..谁来帮帮我~~!!
..不知道怎么搞的我用鼠标右键点我的Internet Explorer之后
常规里的主页是http://www.7939.com/怎么改也改不掉..
在那个主页下面的修改的3个按纽都可以按..
但是我改了之后.关闭了浏览器..重新打开了又是http://www.7939.com/网站,,谁来帮帮我..~天天1打开Internet Explorer就出现这个网站.烦都烦死了.
参考答案:杀毒记
1. 中毒
今天周末,不用上班,兴高采烈的在家里,准备好好把《山河英雄志》剩下的章节看完。打好一杯新磨的豆浆,
连上网,进入max99网站,找到我的小说,刚准备享受一下,瑞星就不停的弹出注册表被修改的提示,怎么
也停不掉。乖乖,连电脑也要欺负我,看本书也不能安生吗?
接下来,更为严重的事情发生了:电脑如同老牛破车,老半天才反应一下;IE的主页被修改为,
当把它修改之后,又自动改回7939......肯定是中招了。
2. 查毒
怎么办?查吧。先用瑞星查C盘的毒,看看内存和系统盘是不是能有什么发现,不是吧,居然没有发现病毒,看来
这个瑞星可以更新了哦。再调ctrl+alt+del,查看任务管理器中的系统服务。不对啊,在肯定中毒的前提下,很快
就发现了几个可疑对象:
theopen.exe
8888.exe
g0ld.exe
呜呜呜,我的狗屎运还真不是一般的强啊,一下子来这么多病毒,我受得了吗?咦,不对,我明明没有在看RM电影,
怎么任务管理器中出现了realplayer.exe啊?有问题,要好好看看。
先用regedit打开注册表,查看所有为"RUN"的项,果然发现有一条对应
"Realplayer.exe" = "%system%\realplayer.exe"的启动项;再查
theopen.exe,8888.exe等,没有。说明依靠注册表的病毒只有realplayer.exe一项。再说了,realplayer.exe也不
可能在system目录下啊,找到一个病毒。^_^
用文件搜索的功能在C盘查找theopen.exe等,在C:\Documents and Settings\Administrator\Local Settings\Temp
下找到了该文件,同时还有
1.exe
an85.com
8888.exe
kw1034.exe
theopen.exe
searchbar.exe
v***********.rar
等文件,用ultraedit打开,发现它们居然还是用UPX加了壳的!不管了,把这些文件统统改成txt的后缀名,保存
到一个目录中,以后慢慢分析. :)
3.杀毒
把这些已经发现的病毒统统删掉,把IE的主页改回原值,把RUN的值重新整理,删掉realplayer.exe的启动项,重起!
唉,就知道这些病毒没这么容易对付,这不?重启后的电脑,才刚刚连上网,又发现theopen在运行了。再查注册表
和系统文件夹,原来删掉的东西一个没少,病毒全都回来了。
好吧,那就慢慢研究吧。以安全模式启动,先进入注册表,搜索值为realplayer.exe的所有项。哈哈哈哈,果然有大
发现。除了RUN的项以外,在winlogon中也发现了realplayer.exe的内容:
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT NT/WINDOWS/CURRENTVERSION/WINLOGON
中,shell的值为:Explorer.exe C:\WINNT\system32\Realplayer.exe
这说明在logon的时候,Explorer就已经调用Realplayer.exe了,我仅仅删除RUN中的项,当然没有什么用处的。
在刚才上网的时候,有一个很奇怪的现象,我本来是想上google的,使用IE没有办法连上网,但使用Maxthon却
能够正常的连上google,这之间有什么问题呢?
查询注册表中,发现
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks键值下,有这样的值:
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 baidu.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 sohu.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 sina.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 sina.com.cn
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 163.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 google.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 qq.com
O1 - Hosts: 59.34.197.239
O1 - Hosts: 59.34.197.239 hao123.com
O1 - Hosts: 59.34.197.239 ttlttt.com
O1 - Hosts: 59.34.197.239 about:blank
这说明,使用IE上网时,当试图连接网站时,其实连接的IP地址是59.34.197.239!
查询C:\WINNT\system32\drivers\etc\hosts文件,内容为:
59.34.197.239
59.34.197.239 baidu.com
59.34.197.239
59.34.197.239 sohu.com
59.34.197.239
59.34.197.239 sina.com
59.34.197.239
59.34.197.239 sina.com.cn
59.34.197.239
59.34.197.239 163.com
59.34.197.239
59.34.197.239 google.com
59.34.197.239
59.34.197.239 qq.com
59.34.197.239
59.34.197.239 hao123.com
59.34.197.239 ttlttt.com
59.34.197.239 about:blank
现在已经很明确病毒的入侵途径了:
a. 当访问某个站点的时候,可能网页上含有恶意的代码,会修改hosts文件(以后每次只要试图访问google网站时,
都会连接到59.34.197.239IP地址)。可能还会侵入系统,将realplayer.exe下载到system32目录,并修改注册表,
当每次启动时,自动执行realplayer.exe;
b. realplayer.exe可能是一个木马源,它会将其它的木马一一下载到中招的机器中。我的电脑就被下了theopen,8888,
g0ld等木马;
c. realplayer.exe会调度并执行这些子木马。当临时目录中的木马被删掉时,它还负责恢复这些木马。
d. 由于注册表被修改,那么每次系统启动时,realplayer.exe都会被执行,它具有很大的迷惑性,用户往往不太注意
它是一个病毒--因为很多系统中,realplayer都是启动时执行的!
杀毒:
a. 彻底清除注册表中被修改的项。(使用瑞星的注册表监视工具是没用的,它只监视和IE相关的几项设置而已)
b. 为了防止病毒被反复下载(我估计不知什么地方还藏着病毒),不删除病毒文件,而是使用ultraedit将病毒文件
的内容胡乱修改,让它没有办法正常执行。:)
c. 修改host文件,将明显是病毒的网站删除。
d. 将病毒文件保留一个copy,以后慢慢的用工具来分析分析,咱也看看病毒是怎么工作的!
4. 资料
重新开机,查看资源管理器,呵呵,realplayer和其他的病毒都没有了。再次上网,也没有再发现病毒。搜索了一下,
才发现这个病毒早就被别人发现并公布了:
(转)关于Realplayer.exe,brlmon.dll病毒的解决方法
昨天下午就中了这个病毒,已经杀了,不过郁闷的是今天又中了,卡巴斯基也解决不了问题.而且一上百度或者Google卡巴就提示有病毒,当时没有在意,还郁闷的想是不是这俩网站被挂马了.在第二次删除完病毒文件修改注册表键值后,我登陆百度找答案,这时才留意浏览器的状态栏,登陆百度时,先登陆的不是百度,而是另一个网站(通过IP直接访问的,IP地址是59.34.197.239,广东省湛江市的),然后才跳转到百度页面,这时卡巴斯基已经在叫了.截图如下:
这两个都是可执行文件.接着进程里就会出现theopen.exe进程.
并且IE首页被篡改为 (别好奇进去看看,看了可就...)
以上是表面现象,其实 C:\WINDOWS\system32 文件夹下已经被添加了两个文件(C盘为系统盘,以XP为例),文件名分别为Realplayer.exe 和 brlmon.dll.并且病毒会添加以下注册表项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_USERS\S-1-5-21-***********-***********-***********-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"
(注: 中括号内为注册表路径,等号左边引号内为注册表键,等号右边引号内为对应键的数据)
并且病毒会修改系统的hosts文件,这个文件可以指定网站的默认IP,这就是开头打开百度 google等网站就提示有病毒了原因了,因为病毒文件把hosts文件中几个比较常使用的网站(有百度,Google,QQ,新浪,搜狐等)的ip指向了他的病毒网站的IP,就是上面提到的59.34.197.239.
以上为中毒后的症状.
---------------------------------------------------------------
以下为解决方法.
1.断网,重新启动按F8进入安全模式.
2.删除C:\WINDOWS\system32 下的Realplayer.exe 和 brlmon.dll两个文件.
3.把上面提到的几个注册表键删除(打开注册表管理器的方法:在"开始">"运行"里输入regedit)
4.进入C:\WINDOWS\system32\drivers\etc文件夹,用记事本打开hosts等几个文件,删除里面的内容保存.(注意:只需要删除前面是IP地址,后面是网址格式的(你最好自己判断下是否要删,比如后面是一些常用的网址,前面的IP地址却都是一样的,我的前面的IP都指向了59.34.197.239)
[说明: windows各个版本中的Hosts文件路径分别是: C:\WINDOWS\SYSTEM32\DRIVERS\etc(Windows XP)、C:WINNT\SYSTEM32\DRIVERS\etc(Windows 2000)、C:Windows\Hosts(Windows 98) C盘为系统盘]
5.修改IE默认首页,右键单击IE浏览器,属性,修改默认首页为空白页(只要不是那个病毒页面就行).
6.重新启动正常进入系统.
7.查看系统进程,确保没有Realplay.exe等异常进程
==========================================
备注:这是结合我自己遇到情况的解决方法,可能不太完善,希望大家补充. --by程序男孩网 孤鸿,欢迎转载
瑞星的相关说明如下:
8月29日,瑞星全球反病毒监测网截获一个修改用户IE浏览器首页的病毒,并命名为诡秘下载器变种CXW(Trojan.DL.Delf.cxw)病毒。瑞星反病毒专家介绍说,该病毒侵入用户电脑后,会把IE浏览器的首页设置为7939.com,并且每隔2秒钟就检查一次,如果被用户修改则将其改回,使用户无法手工恢复成正常首页。
瑞星反病毒专家表示,目前无法通过技术手段确定该病毒的作者。而许多网友在网上发贴认为,该病毒非常可能与7939.com有关。专家认为,由于此类病毒往往是通过恶意网站散布,或者与某些软件进行捆绑欺骗用户下载安装,要想确定散布者并取得有关证据比较困难。
记者登陆7939.com之后看到,该网站站长在博客中辩解说“7939网站无毒,也并无任何弹出”,但该博客中没有说到是否利用了软件捆绑手段、网站合作等方式进行推广。有业界人士认为,目前进行恶意推广的网站很少在自己的网页中放入恶意软件或病毒,这些推广往往通过合作网站、软件捆绑插件等形式来进行。
瑞星技术部门对该病毒的分析表明,该病毒除了修改用户的首页之外,还会终止或影响多个安全软件的正常工作,从而使用户面临极大的安全风险。截至8月30日14:00,记者用“7939 流氓”在Google上搜索,已经能够搜到3210个网页。瑞星公司表示,已经收到数千中毒用户的求助。
瑞星反病毒专家提醒广大用户,该类病毒一般通过恶意网站、软件捆绑插件等形式传播,近期用户应该采取以下措施进行防范:不要随意从网上下载软件,下载软件后及时用杀毒软件进行扫描;不要浏览不良网站。针对该病毒,瑞星公司已经升级,瑞星杀毒软件2006版18.42.12版及以上版本即可查杀该病毒。中毒用户也可登陆瑞星远程救助中心,寻求专家的帮助。