史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   資訊系統安全備援防護技術文件 (http://forum.slime.com.tw/f139.html)
-   -   首頁被7939.com鎖定的解決方案 (http://forum.slime.com.tw/thread184835.html)

psac 2006-08-31 11:53 PM

首頁被7939.com鎖定的解決方案
 
首頁被7939.com鎖定的解決方案
病毒名稱:詭秘下載器變種CXW(Trojan.DL.Delf.cxw)
病毒類型:流氓軟件
病毒危害級別:★★★☆
病毒發作現象及危害:
該病毒執行後會從黑客指定的網站下載指令並執行,會將用戶IE瀏覽器的主頁鎖定為一個名叫「7939上網導航」的網站,以提高該網站的訪問量.該病毒會試圖禁止多種安全工具軟件執行,並會造成一些主流殺毒軟件執行不正常.它還會自動從http//down.Viru??ky.com下載新的病毒並執行.
手工清除:
一、清除記憶體中的病毒
在任務管理器中找到名為「Realplayer.exe」和「Explorer.exe」的工作行程,單擊滑鼠右鍵,選擇「結束工作行程」。
「Explorer.exe」工作行程被結束後將會看不到桌面圖示和任務欄,這時按住Ctrl+Alt+Del鍵,啟動任務管理器,點擊表菜單「文件」-》「新增任務(執行…)」,輸入「explorer.exe」,點擊「確定」。
http://it.rising.com.cn/Channels/imgs/h000/h11/img200608311500330.jpg
二、刪除病毒文件
1、打開「我的電腦」,選擇表菜單「工具」-》「資料夾選項」,點擊「檢視」,取消「隱藏已知類型文件的延伸名」前的對勾,然後點擊「確定」。
2、進入Windows系統文件目錄下(預定為C:WindowsSystem32),刪除掉「realplayer.exe」、「brlmon.dll」(部分變種dll文件的名稱為ravmon.dll)兩個文件。
三、修復註冊表
1、點擊「開始」表菜單,選擇「執行」,輸入「regedit.exe」並確定,打開註冊表編輯器。
2、打開HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun,在右邊的視窗內中找到「Realplayer.exe」一項,將其刪除。
3、打開HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRun,在右邊的視窗內中找到「Realplayer.exe」一項,將其刪除。
4、打開HKEY_LOCAL_MACHINE/SOFTWARE,將其下的「Microsoft NT」目錄整個刪除(包含其下的子項)。
5、打開HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft,將其下的「RunDown」目錄整個刪除(包含其下的子項)。
四、修復IE首頁
打開IE瀏覽器,點擊表菜單「工具」-》「Internet選項」,打開「一般」選項頁,在「主頁」處自行設置IE的主頁位址。
用殺毒軟件清除:
由於該病毒變種繁多,DLL文件名稱不固定,手工清除有一定困難,建議用戶使用瑞星殺毒軟件進行清除。清除該病毒時需注意以下三點:
1、必須在殺毒軟件的查殺目標中勾選「記憶體」
由於該病毒會注入到系統工作行程當中,因此查殺該病毒必須先對記憶體進行檢查,否則可能出現查殺失敗。
http://it.rising.com.cn/Channels/imgs/h000/h11/img200608311501510.jpg
2、殺毒後需重新啟動電腦
瑞星在查到該病毒時會提示用戶「重新啟動電腦後刪除文件」。用戶只需在殺毒完畢後立即重新啟動電腦即可清除該病毒。


所有時間均為台北時間。現在的時間是 12:34 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1