[病毒查杀] 主页被改为www.7939.com 下载器变种CXW（Trojan.DL.Delf.cxw）病毒 windows, 盗号木马, 注册表, 网上

网上近来很多人机子的ie主页都被恶意修改为www.7939.com。
造成主页被修改是因为 realplayer.exe

关于realplayer.exe的查杀

最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个qq的盗号木马，而且伪装成为real的进程 比较可恶。

运行realplayer.exe 后
发现在c:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件，且brlmon.dll插入explorer进程。 还好插入的是explorer进程 ，比较好弄。
两个东西相互监视 所以即便结束了 realplayer.exe进程， 也无法删除这个文件，
并且在注册表项上添加了2个启动项：
o4 - hkcu\..\run: [realplayer.exe] c:\windows\system32\realplayer.exe
o4 - 启动项hklm\\run: [realplayer.exe] c:\windows\system32\realplayer.exe
达到开机启动的目的。

清除方法如下
控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹 勾上
打开任务管理器 结束realplayer.exe
然后结束 　explorer进程
然后点击任务管理器上方的菜单栏中的　“ 文件-新建任务-浏览” 　找到
c:\windows\system32\realplayer.exe和c:\windows\system32\brlmon.dll 右键删除该文件
然后　“文件-新建任务-浏览” 打开c:\windows\explorer.exe　此时　桌面又回来了
结束explorer.exe是为了删除那个c:\windows\system32\brlmon.dll　否则删不掉

然后　用hijackthis修复
o4 - hkcu\..\run: [realplayer.exe] c:\windows\system32\realplayer.exe
o4 - 启动项hklm\\run: [realplayer.exe] c:\windows\system32\realplayer.exe
这两项

修复注册表

开始 运行 输入regedit 删除hkey_local_machine\software\microsoft nt
和hkey_local_machine\software\microsoft\rundown
整个项目　
至此　该病毒就被干掉了

附：用hijackthis修复的方法：
打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
o4 - hkcu\..\run: [realplayer.exe] c:\windows\system32\realplayer.exe
o4 - 启动项hklm\\run: [realplayer.exe] c:\windows\system32\realplayer.exe
挑钩 点击下面的修复 即可


需要注意:
在c:\program files\internet explorer\\

下有可能会释放出另外一个病毒文件 winhook.sys winhook.jmp
c:\program files\internet explorer\plugins
system32.sys system32.jmp
两个都为系统隐藏属性,需要打开隐藏属性才可以看到.可以使用killbox删除掉这两个文件


瑞星网站相关报道：http://it.rising.com.cn/channels/info/virus/2006-08-31/1156986335d37444.shtml