流氓软件的手法越来越绝了,最近几天很多人都中了7939这个病毒,症状就是IE浏览器主页被改为
http://www.7939.com(7939上网导航),会从黑客指定的网站下载指令并运行,而且该病毒会试图禁止多种安全工具软件运行,同时造成一些主流杀毒软件运行不正常。最恶毒的是它还会自动从http//down.Viru??ky.com下载新的病毒并运行。瑞星将其命名为“诡秘下载器”变种CXW(Trojan.DL.Delf.cxw)。
在运行realplayer.exe 后,它会在C:\windows\system32下生成了realplayer.exe和brlmon.dll(RavMon.dll)两个文件,并且brlmon.dll(RavMon.dll)插入Explorer进程,因此即使强制结束realplayer.exe进程,也无法彻底删除这个文件。在注册表项里,病毒会添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
如何删除7939.com病毒呢?这里提供两种方法:
病毒软件查杀7399“诡秘下载器”变种
将杀毒软件的病毒库升级到最新版,杀完毒后马上重新启动计算机即可清除7939病毒。
手工清除7399病毒的方法
一、先清除内存中的病毒
打开任务管理器,找到名为“Realplayer.exe”和“Explorer.exe”这两个进程,点击右键,选择“结束进程”。
在结束“Explore.exe”进程后,桌面图标和任务栏会消失,不用慌。按住Ctrl+Alt+Del键,启动任务管理器,在任务管理器“文件”菜单那里选“新建任务(运行…)”,然后在文本框里输入“explorer.exe”,“确定”后即可出现桌面图标和任务栏。
二、删除跟7399有关的病毒文件
1、首先显示所有文件的扩展名,方法是在“我的电脑”的“工具”菜单的“文件夹选项”里,选“查看”,取消“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows系统文件目录下(默认为C:\Windows\System32),删除“realplayer.exe”、“brlmon.dll”(部分变种dll文件的名称为ravmon.dll)两个文件即可。
三、最后,别忘了修复注册表,方法如下:
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
3、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
4、打开HKEY_LOCAL_MACHINE\SOFTWARE,将其下的“Microsoft NT”目录整个删除(包含其下的子项)。
5、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft,将其下的“RunDown”目录整个删除(包含其下的子项)。
好,病毒已经基本解决,接下来就是将被
www.7939.com修改后的IE浏览器主页改回原来的设置了。打开IE浏览器,点击菜单“工具”,选择“Internet选项”--“常规”-在“主页”那里设置成原来的主页即可
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
