伪装realplayer.exe病毒分析与查杀

最近有些朋友的PC中了realplayer.exe这个恶劣的病毒，下面是对这个病毒的分析与查杀方法。

一、病毒分析：

   这是个QQ的盗号木马，而且会伪装成为realplayer的进程。

   运行realplayer.exe 后，会在C:\windows\system32下生成了realplayer.exe和brlmon.dll（RavMon.dll）两个文件 且brlmon.dll（RavMon.dll）插入Explorer进程 还好插入的是Explorer进程 比较好弄两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件。并且在注册表项上添加了2个启动项 HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe，启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe，达到开机自启动的目的。

二、查杀与清除方法：

    1、首先进入控制面版-文件夹选项-查看-显示系统文件夹的内容和显示所有文件和文件夹，打上勾。打开任务管理器 结束Realplayer.exe，然后结束 Explorer进程，此时桌面消失，然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览并找到C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll右击选删除该文件，然后打开文件-新建任务-输入Explorer.exe，此时，桌面恢复。

    补充说明：结束Explorer.exe的进程，是为了删除C:\WINDOWS\system32\brlmon.dll（C:\WINDOWS\System32\RavMon.dll），否则无法删除。

    2、用hijackthis修复
（1）HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
（2）启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项，同时需要修复注册表，运行中输入regedit，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT与HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown整个项目，最后记得将主页改回。

    补充说明：hijackthis的使用方法。

    打开hijackthis 选择 仅执行扫描系统 然后在窗口里把HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe与启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe打钩，点击下面的修复。
    这样就完成了。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点