UC知道高手帮帮我解决这个问题吧Realplayer.exe~牛比的来~100分~~~
来源:百度知道 编辑:UC知道 时间:2024/06/07 06:10:18
症状是:开机后自动弹出网页是http://www.duduw.com/web/dudu12.htm什么嘟嘟网给所有网友的信,我知道是一个脚本木马,很厉害哎~然后瑞星自动同意运行这个~我点拒绝也不行~ C:\WINNT\Explorer.EXE HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
数值数据:Realplayer.exe C:\WINNT\system32\Realplayer.exe同意修改 如果是网上复制那些答案就免了,应该根本没用,进安全模式杀也杀不出~用的是正版瑞星~超级兔子也没用~木吗杀客也没用~注册表删除了下次还会有~真是太愁了~
我看大家都中了这个,怎么连一个都整不好,高手救救我啊,我不想重新做系统了~555555怎么能彻底给他整好啊~
数值数据:Realplayer.exe C:\WINNT\system32\Realplayer.exe同意修改 如果是网上复制那些答案就免了,应该根本没用,进安全模式杀也杀不出~用的是正版瑞星~超级兔子也没用~木吗杀客也没用~注册表删除了下次还会有~真是太愁了~
我看大家都中了这个,怎么连一个都整不好,高手救救我啊,我不想重新做系统了~555555怎么能彻底给他整好啊~
病毒名称:Win32.TrojanDownloader.Delf.NMM (avp)
病毒大小:31,744 字节
加壳方式:UPX
传染方式:通过恶意网站传播,通过其它病毒、木马下载
病毒分析:
1、Realplayer.exe运行后复制自身到系统目录%System%\Realplayer.exe,在%Windows%目录下生成bat批处理删除原文件:
:try
del "Realplayer.exe"
if exist "Realplayer.exe" goto try
del %0
Realplayer.exe释放%System%\brlmon.dll,尝试插入Explorer.exe进程。
2、创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe"="%System%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %System%\Realplayer.exe"
3、修改IE主页:
[HKEY_CURRENT_USER\Software\Microso