4199和REALPLAY。EXE的病毒会潜伏在电脑吗？

realplayer.exe\u4e00\u5b9a\u662f\u75c5\u6bd2\u5417

realplayer.exe
\u75c5\u6bd2\u5206\u6790\uff1a
\u8fd0\u884crealplayer.exe \u540e
\u53d1\u73b0\u5728C:\windows\system32\u4e0b\u751f\u6210\u4e86realplayer.exe\u548cbrlmon.dll,RavMon.dll,Rsvtub.dll\uff08\u8fd93\u4e2a\u6587\u4ef6\u4f1a\u6709\u4e00\u4e2a\uff0c\u56e0\u4e3a\u662f3\u4e2a\u53d8\u79cd\uff09\u4e24\u4e2a\u6587\u4ef6 \u4e14brlmon.dll\u6216RavMon.dll\u6216Rsvtub.dll\u63d2\u5165Explorer\u8fdb\u7a0b \u8fd8\u597d\u63d2\u5165\u7684\u662fExplorer\u8fdb\u7a0b \u6bd4\u8f83\u597d\u5f04
realplayer.exe\u548cbrlmon.dll\u6216RavMon.dll\u6216Rsvtub.dll\u4e24\u4e2a\u4e1c\u897f\u76f8\u4e92\u76d1\u89c6 \u6240\u4ee5\u5373\u4fbf\u7ed3\u675f\u4e86 realplayer.exe\u8fdb\u7a0b \u4e5f\u65e0\u6cd5\u5220\u9664\u8fd9\u4e2a\u6587\u4ef6
\u5e76\u4e14\u5728\u6ce8\u518c\u8868\u9879\u4e0a\u6dfb\u52a0\u4e862\u4e2a\u542f\u52a8\u9879
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - \u542f\u52a8\u9879HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
\u8fbe\u5230\u5f00\u673a\u542f\u52a8\u7684\u76ee\u7684

\u624b\u5de5\u6e05\u9664:
\u53cc\u51fb\u6211\u7684\u7535\u8111\uff0c\u5de5\u5177\uff0c\u6587\u4ef6\u5939\u9009\u9879\uff0c\u67e5\u770b\uff0c\u5355\u51fb\u9009\u53d6"\u663e\u793a\u9690\u85cf\u6587\u4ef6\u6216\u6587\u4ef6\u5939" \u5e76\u6e05\u9664"\u9690\u85cf\u53d7\u4fdd\u62a4\u7684\u64cd\u4f5c\u7cfb\u7edf\u6587\u4ef6\uff08\u63a8\u8350\uff09"\u524d\u9762\u7684\u94a9\u3002\u5728\u63d0\u793a\u786e\u5b9a\u66f4\u6539\u65f6\uff0c\u5355\u51fb\u201c\u662f\u201d \u7136\u540e\u786e\u5b9a
1.\u6253\u5f00\u4efb\u52a1\u7ba1\u7406\u5668 (Ctrl+ALT+DEL) \u7ed3\u675fRealplayer.exe
\u7136\u540e\u7ed3\u675f Explorer\u8fdb\u7a0b
\u6b64\u65f6\u684c\u9762\u53ef\u80fd\u6ca1\u4e86 \u4e0d\u8981\u62c5\u5fc3
2.\u7136\u540e\u70b9\u51fb\u4efb\u52a1\u7ba1\u7406\u5668\u4e0a\u65b9\u7684\u83dc\u5355\u680f\u4e2d\u7684 \u6587\u4ef6-\u65b0\u5efa\u4efb\u52a1-\u6d4f\u89c8 \u627e\u5230
C:\WINDOWS\system32\Realplayer.exe\u548cC:\WINDOWS\system32\brlmon.dll \u6216\u8005C:\WINDOWS\System32\RavMon.dll\u6216\u8005C:\WINDOWS\system32\Rsvtub.dll\u53f3\u952e\u5220\u9664\u8be5\u6587\u4ef6
3.\u7136\u540e\u6587\u4ef6-\u65b0\u5efa\u4efb\u52a1-\u6d4f\u89c8 \u6253\u5f00C:\Windows\Explorer.exe \u6b64\u65f6 \u684c\u9762\u53c8\u56de\u6765\u4e86
\uff08\u7ed3\u675fExplorer.exe\u662f\u4e3a\u4e86\u5220\u9664\u90a3\u4e2aC:\WINDOWS\system32\brlmon.dll\u6216\u8005C:\WINDOWS\System32\RavMon.dll\u6216\u8005C:\WINDOWS\system32\Rsvtub.dll \u5426\u5219\u5220\u4e0d\u6389\uff09
4.\u7136\u540e \u7528hijackthis\u4fee\u590d
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - \u542f\u52a8\u9879HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
\u8fd9\u4e24\u9879
5.\u4fee\u590d\u6ce8\u518c\u8868
\u5f00\u59cb \u8fd0\u884c \u8f93\u5165regedit \u5220\u9664HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
\u548cHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu

\u6574\u4e2a\u9879\u76ee
6.\u6253\u5f00C:\Documents and Settings\\u7528\u6237\u540d\Local Settings\Temp
\u5bfb\u627e\u7c7b\u4f3cv2006XXXX.rar\u7684\u6587\u4ef6\u628a\u5b83\u5220\u9664 XXXX\u4ee3\u8868\u65e5\u671f \u6bd4\u5982 0829 0830 0831 0901 0902\u7b49
7.\u6700\u540e\u8bb0\u5f97\u4e00\u5b9a\u8981\u5c06\u4e3b\u9875\u6539\u56de\u6765

\u9644\uff1ahijackthis\u4e0b\u8f7d\u5730\u5740 http://forum.ikaka.com/topic.asp?board=28&;artid=8105899
\u4fee\u590d\u65b9\u6cd5\uff1a\u6253\u5f00hijackthis \u9009\u62e9 \u4ec5\u6267\u884c\u626b\u63cf\u7cfb\u7edf \u7136\u540e\u5728\u7a97\u53e3\u91cc\u628a
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - \u542f\u52a8\u9879HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
\u6311\u94a9 \u70b9\u51fb\u4e0b\u9762\u7684\u4fee\u590d \u5373\u53ef

\u4e13\u6740\u4e0b\u8f7d
http://mopery.hits.io/7939_7b_v1.zip
\u4e13\u6740\u6e05\u9664
a) \u4e0b\u8f7d\u9644\u4ef6 7939_7b_v1.zip \u5230\u684c\u9762,\u89e3\u5f00\u538b\u7f29\u5305,\u8fd0\u884cbfu.exe
b) \u6309 \u6587\u4ef6\u5939\u56fe\u793a ,\u9009\u53d6\u5728 bfu.exe \u65c1\u7684 7939_7b_v1.bfu \u6863\u6848
c) \u9009\u53d6\u540e, \u786e\u5b9a\u5df2\u52fe\u4e0a Use settings specified in script for above options
d) \u8bf7\u5173\u95ed\u6b63\u5728\u4f7f\u7528\u7684\u7a0b\u5f0f\u548c\u6d4f\u89c8\u5668(eg. QQ,IE),\u6309 Execute \u5f00\u59cb , \u8bf7\u8010\u5fc3\u7b49\u5019
e) \u5b8c\u6210\u540e,\u53ef\u80fd\u4f1a\u63d0\u793a\u4f60\u8981\u91cd\u65b0\u5f00\u673a,\u8bf7\u91cd\u65b0\u5f00\u673a

\u4f60\u4f1a\u53d1\u73b0\u5728%SYSTEMDRIVE% (\u4e00\u822cC:\ ) \u4e0b,\u4f1a\u591a\u4e86\u4e00\u4e2aSuspect file\u7684\u6587\u4ef6\u5939,\u5220\u9664\u5c31\u53ef\u4ee5\u4e86

\u662f\u4e0d\u662f\u9690\u85cf\u5c5e\u6027\u7684\u6587\u4ef6\uff1f
\u7528\u4e0b\u9762\u7684\u65b9\u6cd5\u67e5\u770b\u4e00\u4e0b\u8fd9\u4e2a\u8fdb\u7a0b\u5728\u7cfb\u7edf\u4e2d\u7684\u8def\u5f84\uff1a
\u5355\u51fb\uff1a\u5f00\u59cb\uff0d\u6240\u6709\u7a0b\u5e8f\uff0d\u9644\u4ef6\uff0d\u7cfb\u7edf\u5de5\u5177\uff0d\u7cfb\u7edf\u4fe1\u606f\uff0c\u5728\u6253\u5f00\u7684\u201c\u7cfb\u7edf\u4fe1\u606f\u201d\u7a97\u53e3\uff0c\u5c55\u5f00\uff1a\u8f6f\u4ef6\u73af\u5883\uff0d\u6b63\u5728\u8fd0\u884c\u4efb\u52a1\uff0c\u5373\u53ef\u5728\u53f3\u4fa7\u7684\u8be6\u7ec6\u7a97\u683c\u770b\u5230\u5f53\u524d\u8fd0\u884c\u4efb\u52a1\u7684\u8fd0\u884c\u8def\u5f84\u3002
\u627e\u5230\u5b83\uff0c\u7136\u540e\u505c\u7528\uff0d\uff0d\u5220\u9664\u3002

鉴于今日不少朋友遇上被www.4199.com这个网站修改了主页的问题，经过仔细的讨论，测试，总结了如下的笔记，按正常操作，清除率是90%以上。

现象描述：一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风

这个网站程序（其实是一段代码）会感染的文件有C:\Program Files\Internet Explorer下的IEXPLORE.exe和iedw两个程序，QQ文件，然后修改系统盘路径如下c：\windows\system32下的rundll,runas,runonce这3个程序，并且自动加载到启动项，在开始——运行下输入msconfig可以看到多出了一个run，并且会修改注册表HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN键值下右边的start page键值
还有HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main，右半部分窗口"Start Page"的键值

解决

知道问题所在了，我们现在开工：
首先找人帮忙复制IEXPLORE.exe和iedw，rundll,runas,runonce这5个文件过来，保存在另外的盘符里，记住所在路径.
重新启动机器F8进入安全模式，首先删除C:\Program Files\Internet Explorer下的IEXPLORE.exe和iedw两个程序，然后删除c:\windows\system32下的rundll,runas,runonce这3个程序，卸载QQ并删除所在文件夹.
开始--运行msconfig，不要选中RUN这个启动项，msconfig ----> service ，隐藏windows 服务，将剩下的服务中的一项 logic disk 服务禁止 ，删除系统盘 C:\windows 和 C:\windows\system32 下 serverok.exe , serverok.dll，serverokkey.dll , explore.exe 文件;
msconfig ----> startup ，禁止一些可疑启动项
打开注册表（开始——运行——regedit） HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ，只保留默认项，其它的都删除
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN键值下右边的start page键值改为"about：blank"
编辑--查找，输入“www.4199.com”找到后删除，并且删除左边的主键“search”
还有HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main，右半部分窗口"Start Page"的键值改为"about：blank"
查找c盘上的所有user.dll在c:\user.dll ,c:\winnt\system32\下均有一个40k的user.dll,将user.dll删除或改名
把刚保存过来的IEXPLORE.exe和iedw，rundll,runas,runonce这5个文件覆盖到原来的路径（IEXPLORE.exe和iedw在
C:\Program Files\Internet Explorer， rundll,runas,runonce在c：\windows\system32）

据几个朋友提供，感染了这个之后QQ空间会打不开，我仔细分析了文件属性和综合了360安全的说法，觉得可能这个脚本是以前的4199的“升级版本”（呵呵，我只能这么说），确实是会感染QQ文件，打不开空间，特意拿朋友的机子试过，在先开网站后开QQ的情况下，有大半时间不会被改掉首页，但只要先开QQ就是绝对中招。360已经注意这个问题了，以后大家就不必手动清除了，马上快推出清除工具了

好了，我们的步骤就到这里全部操作完成了，尽量按照我说的顺序做。

以上不能说很权威，但至少是个思想，希望可以最大的限度帮助大家

顺便说说网页病毒
网页病毒的概念
1、什么是网页病毒?
它主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序，javascript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统资源盗取用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
2、网页病毒的性质及特点：
这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。你一旦浏览含有该病毒的网页，即可以在你不知不觉的情况下马上中招，给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言，甚至损失惨重无法弥补。 网页病毒的种类
根据目前互联网上流行的常见网页病毒的作用对象及表现特征，归纳为以下两大种类：
一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器：
1.默认主页被修改；
2.默认首页被修改；
3.默认的微软主页被修改；
4.主页设置被屏蔽锁定，且设置选项无效不可改回；
5.默认的IE搜索引擎被修改；
6.IE标题栏被添加非法信息
7.OE标题栏被添加非法信息；
8.鼠标右键菜单被添加非法网站广告链接；
9.鼠标右键弹出菜单功能被禁用失常；
10.IE收藏夹被强行添加非法网站的地址链接；
11.在IE工具栏非法添加按钮；
12.锁定地址下拉菜单及其添加文字信息；
13.IE菜单“查看”下的“源文件”被禁用；

二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统：
1.开机出现对话框；
2.系统正常启动后，但IE被锁定网址自动调用打开；
3.格式化硬盘
4.暗藏“万花谷”蛤蟆病毒，全方位侵害封杀系统，最后导致瘫痪崩溃；
5.非法读取或盗取用户文件；
6.锁定禁用注册表；
7.注册表被锁定禁用之后，编辑*.reg注册表文件打开方式错乱；
8.时间前面加广告；
9.启动后首页被再次修改；
10.更改“我的电脑”下的一系列文件夹名称
问题

附上现在IE遇上最多的问题的解决方法（注册表操作）
1，现象描述：有时浏览了恶意网页后系统被修改，想要用Regedit更改时，却发现系统提示你没有权限运行该程序，然后让你联系管理员。晕了！动了我的东西还不让改，这是哪门子的道理！

解决办法：能够修改注册表的又不止Regedit一个，找一个注册表编辑器，例如：Reghance.将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值"DisableRegistryTools"键值恢复为"0"，即可恢复注册表。
优化大师，超级兔子也可以

2，默认主页修改

现象描述：一些网站为了提高自己的访问量和做广告宣传，利用IE的漏洞，将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页，为了不让你改回去，甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。

解决办法：

（1）、起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about：blank"即可。同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main，在右半部分窗口中将"Start Page"的键值改为"about：blank"即可。

注意：有时进行了以上步骤后仍然没有生效，估计是有程序加载到了启动项的缘故，就算修改了，下次启动时也会自动运行程序，将上述设置改回来，解决方法如下：

运行注册表编辑器Regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键，然后将下面的"registry.exe"子键（名字不固定）删除，最后删除硬盘里的同名可执行程序。退出注册编辑器，重新启动计算机，问题就解决了。

（2）、默认主页的修改。运行注册表编辑器，展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\，将Default-Page-URL子键的键值中的那些恶意网站的网址改正，或者设置为IE的默认值。

（3）、IE选项按钮失效。运行注册表编辑器，将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值"Settings"=dword：1、"Links"=dword：1、"SecAddSites"=dword：1全部改为"0"，将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值"homepage"的键值改为"0".

3：篡改IE标题栏

现象描述：在系统默认状态下，由应用程序本身来提供标题栏的信息。但是，有些网络流氓为了达到广告宣传的目的，将串值"Windows Title"下的键值改为其网站名或更多的广告信息，从而达到改变IE标题栏的目的。非要别人看他的东西，而且是通过非法的修改手段，除了"无耻"两个字，再没有其它形容词了。

解决办法：展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下，在右半部分窗口找到串值"Windows Title"，将该串值删除。重新启动计算机。

4： 篡改默认搜索引擎

现象描述：在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。

解决办法：运行注册表编辑器，依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant，将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。

5： IE右键修改

现象描述：有的网络流氓为了宣传的目的，将你的右键弹出的功能菜单进行了修改，并且加入了一些乱七八糟的东西，甚至为了禁止你下载，将IE窗口中单击右键的功能都屏蔽掉。

解决办法：

（1）、右键菜单被修改。打开注册表编辑器，找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt，删除相关的广告条文。

（2）、右键功能失效。打开注册表编辑器，展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions，将其DWORD值"NoBrowserContextMenu"的值改为0.

6：篡改地址栏文字

现象描述：中招者的IE地址栏下方出现一些莫名其妙的文字和图标，地址栏里的下拉框里也有大量的地址，并不是你以前访问过的。

解决办法：

（1）、地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName，将其中的内容删去即可。

（2）、地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。

7：启动时弹出对话框

现象描述：

1.系统启动时弹出对话框，通常是一些广告信息，例如欢迎访问某某网站等等。

2.开机弹出网页，通常会弹出很多窗口，让你措手不及，恶毒一点的，可以重复弹出窗口直到死机。

解决办法：

（1）、弹出对话框。打开注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键，然后在右边窗口中找到"LegalNoticeCaption"和"LegalNoticeText"这两个字符串，删除这两个字符串就可以解决在启动时出现提示框的现象了。

（2）、弹出网页。点击"开始-运行-输入msconfig"，选择"启动"，把里面后缀为url、html、htm的网址文件都勾掉。

8：IE窗口定时弹出

现象描述：中招者的机器每隔一段时间就弹出IE窗口，地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾？

解决办法：点击"开始-运行-输入msconfig"，选择"启动"，把里面后缀为hta的都勾掉，重启

本来想做个录像的，实在是困了，明天啦，呵呵

QQ:1266712
BOKE:sizi.blog.sohu.com
小毒工作室
06/10/10

扩展阅读：gta5私人夜店怎么玩 ... www.sony.com.cn ... gta5崔佛怎么睡阿曼达 ... mac蜜桃奶茶314 ... gta5怎么让股票疯涨 ... 韩国macbookpro ... 买房网 ... paperpass免费入口 ... amazon欧洲站 ...