我的Internet Explorer浏览器出了点问题..谁来帮帮我~~!!

Posted 2023-03-19

..不知道怎么搞的我用鼠标右键点我的Internet Explorer之后
常规里的主页是http://www.7939.com/
怎么改也改不掉..
在那个主页下面的修改的3个按纽都可以按..
但是我改了之后.关闭了浏览器..重新打开了又是http://www.7939.com/
网站,,谁来帮帮我..~天天1打开Internet Explorer就出现这个网站.烦都烦死了.

杀毒记

1. 中毒

今天周末，不用上班，兴高采烈的在家里，准备好好把《山河英雄志》剩下的章节看完。打好一杯新磨的豆浆，
连上网，进入max99网站，找到我的小说，刚准备享受一下，瑞星就不停的弹出注册表被修改的提示，怎么
也停不掉。乖乖，连电脑也要欺负我，看本书也不能安生吗？

接下来，更为严重的事情发生了：电脑如同老牛破车，老半天才反应一下；IE的主页被修改为www.7939.com，
当把它修改之后，又自动改回7939......肯定是中招了。

2. 查毒

怎么办？查吧。先用瑞星查C盘的毒，看看内存和系统盘是不是能有什么发现，不是吧，居然没有发现病毒，看来
这个瑞星可以更新了哦。再调ctrl+alt+del，查看任务管理器中的系统服务。不对啊，在肯定中毒的前提下，很快
就发现了几个可疑对象：
theopen.exe
8888.exe
g0ld.exe

呜呜呜，我的狗屎运还真不是一般的强啊，一下子来这么多病毒，我受得了吗？咦，不对，我明明没有在看RM电影，
怎么任务管理器中出现了realplayer.exe啊？有问题，要好好看看。

先用regedit打开注册表，查看所有为"RUN"的项，果然发现有一条对应
"Realplayer.exe" = "%system%\realplayer.exe"的启动项；再查
theopen.exe,8888.exe等，没有。说明依靠注册表的病毒只有realplayer.exe一项。再说了，realplayer.exe也不
可能在system目录下啊，找到一个病毒。^_^

用文件搜索的功能在C盘查找theopen.exe等，在C:\Documents and Settings\Administrator\Local Settings\Temp
下找到了该文件，同时还有
1.exe
an85.com
8888.exe
kw1034.exe
theopen.exe
searchbar.exe
v20060908.rar
等文件，用ultraedit打开，发现它们居然还是用UPX加了壳的！不管了，把这些文件统统改成txt的后缀名，保存
到一个目录中，以后慢慢分析. :)

3.杀毒

把这些已经发现的病毒统统删掉，把IE的主页改回原值，把RUN的值重新整理，删掉realplayer.exe的启动项，重起！

唉，就知道这些病毒没这么容易对付，这不？重启后的电脑，才刚刚连上网，又发现theopen在运行了。再查注册表
和系统文件夹，原来删掉的东西一个没少，病毒全都回来了。

好吧，那就慢慢研究吧。以安全模式启动，先进入注册表，搜索值为realplayer.exe的所有项。哈哈哈哈，果然有大
发现。除了RUN的项以外，在winlogon中也发现了realplayer.exe的内容：

HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT NT/WINDOWS/CURRENTVERSION/WINLOGON
中，shell的值为：Explorer.exe C:\WINNT\system32\Realplayer.exe

这说明在logon的时候，Explorer就已经调用Realplayer.exe了，我仅仅删除RUN中的项，当然没有什么用处的。

在刚才上网的时候，有一个很奇怪的现象，我本来是想上google的，使用IE没有办法连上网，但使用Maxthon却
能够正常的连上google，这之间有什么问题呢？
查询注册表中,发现

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks键值下，有这样的值：
O1 - Hosts: 59.34.197.239 www.baidu.com
O1 - Hosts: 59.34.197.239 baidu.com
O1 - Hosts: 59.34.197.239 www.sohu.com
O1 - Hosts: 59.34.197.239 sohu.com
O1 - Hosts: 59.34.197.239 www.sina.com
O1 - Hosts: 59.34.197.239 sina.com
O1 - Hosts: 59.34.197.239 www.sina.com.cn
O1 - Hosts: 59.34.197.239 sina.com.cn
O1 - Hosts: 59.34.197.239 www.163.com
O1 - Hosts: 59.34.197.239 163.com
O1 - Hosts: 59.34.197.239 www.google.com
O1 - Hosts: 59.34.197.239 google.com
O1 - Hosts: 59.34.197.239 www.qq.com
O1 - Hosts: 59.34.197.239 qq.com
O1 - Hosts: 59.34.197.239 www.hao123.com
O1 - Hosts: 59.34.197.239 hao123.com
O1 - Hosts: 59.34.197.239 ttlttt.com
O1 - Hosts: 59.34.197.239 about:blank

这说明，使用IE上网时，当试图连接www.google.com网站时，其实连接的IP地址是59.34.197.239！

查询C:\WINNT\system32\drivers\etc\hosts文件，内容为：
59.34.197.239 www.baidu.com
59.34.197.239 baidu.com
59.34.197.239 www.sohu.com
59.34.197.239 sohu.com
59.34.197.239 www.sina.com
59.34.197.239 sina.com
59.34.197.239 www.sina.com.cn
59.34.197.239 sina.com.cn
59.34.197.239 www.163.com
59.34.197.239 163.com
59.34.197.239 www.google.com
59.34.197.239 google.com
59.34.197.239 www.qq.com
59.34.197.239 qq.com
59.34.197.239 www.hao123.com
59.34.197.239 hao123.com
59.34.197.239 ttlttt.com
59.34.197.239 about:blank

现在已经很明确病毒的入侵途径了：

a. 当访问某个站点的时候，可能网页上含有恶意的代码，会修改hosts文件（以后每次只要试图访问google网站时，
都会连接到59.34.197.239IP地址）。可能还会侵入系统，将realplayer.exe下载到system32目录，并修改注册表，
当每次启动时，自动执行realplayer.exe；
b. realplayer.exe可能是一个木马源，它会将其它的木马一一下载到中招的机器中。我的电脑就被下了theopen,8888,
g0ld等木马；
c. realplayer.exe会调度并执行这些子木马。当临时目录中的木马被删掉时，它还负责恢复这些木马。
d. 由于注册表被修改，那么每次系统启动时，realplayer.exe都会被执行，它具有很大的迷惑性，用户往往不太注意
它是一个病毒--因为很多系统中，realplayer都是启动时执行的!

杀毒：

a. 彻底清除注册表中被修改的项。（使用瑞星的注册表监视工具是没用的，它只监视和IE相关的几项设置而已）
b. 为了防止病毒被反复下载（我估计不知什么地方还藏着病毒），不删除病毒文件，而是使用ultraedit将病毒文件
的内容胡乱修改，让它没有办法正常执行。:)
c. 修改host文件，将明显是病毒的网站删除。
d. 将病毒文件保留一个copy，以后慢慢的用工具来分析分析，咱也看看病毒是怎么工作的！

4. 资料

重新开机，查看资源管理器，呵呵，realplayer和其他的病毒都没有了。再次上网，也没有再发现病毒。搜索了一下，
才发现这个病毒早就被别人发现并公布了：

(转)关于Realplayer.exe,brlmon.dll病毒的解决方法

昨天下午就中了这个病毒,已经杀了,不过郁闷的是今天又中了,卡巴斯基也解决不了问题.而且一上百度或者Google卡巴就提示有病毒,当时没有在意,还郁闷的想是不是这俩网站被挂马了.在第二次删除完病毒文件修改注册表键值后,我登陆百度找答案,这时才留意浏览器的状态栏,登陆百度时,先登陆的不是百度,而是另一个网站(通过IP直接访问的,IP地址是59.34.197.239,广东省湛江市的),然后才跳转到百度页面,这时卡巴斯基已经在叫了.截图如下:

这两个都是可执行文件.接着进程里就会出现theopen.exe进程.
并且IE首页被篡改为 www.7939.com (别好奇进去看看,看了可就...)

以上是表面现象,其实 C:\WINDOWS\system32 文件夹下已经被添加了两个文件(C盘为系统盘,以XP为例),文件名分别为Realplayer.exe 和 brlmon.dll.并且病毒会添加以下注册表项:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"Realplayer.exe" = "%SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %SYSTEM%\Realplayer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown\info]
"vvad" = "0"
(注: 中括号内为注册表路径,等号左边引号内为注册表键,等号右边引号内为对应键的数据)

并且病毒会修改系统的hosts文件,这个文件可以指定网站的默认IP,这就是开头打开百度 google等网站就提示有病毒了原因了,因为病毒文件把hosts文件中几个比较常使用的网站(有百度,Google,QQ,新浪,搜狐等)的ip指向了他的病毒网站的IP,就是上面提到的59.34.197.239.

以上为中毒后的症状.
---------------------------------------------------------------
以下为解决方法.

1.断网,重新启动按F8进入安全模式.

2.删除C:\WINDOWS\system32 下的Realplayer.exe 和 brlmon.dll两个文件.

3.把上面提到的几个注册表键删除(打开注册表管理器的方法:在"开始">"运行"里输入regedit)

4.进入C:\WINDOWS\system32\drivers\etc文件夹,用记事本打开hosts等几个文件,删除里面的内容保存.(注意:只需要删除前面是IP地址,后面是网址格式的(你最好自己判断下是否要删,比如后面是一些常用的网址,前面的IP地址却都是一样的,我的前面的IP都指向了59.34.197.239)
[说明: windows各个版本中的Hosts文件路径分别是: C:\WINDOWS\SYSTEM32\DRIVERS\etc(Windows XP)、C:WINNT\SYSTEM32\DRIVERS\etc(Windows 2000)、C:Windows\Hosts(Windows 98) C盘为系统盘]

5.修改IE默认首页,右键单击IE浏览器,属性,修改默认首页为空白页(只要不是那个病毒页面就行).

6.重新启动正常进入系统.

7.查看系统进程,确保没有Realplay.exe等异常进程

==========================================
备注:这是结合我自己遇到情况的解决方法,可能不太完善,希望大家补充. --by程序男孩网 孤鸿,欢迎转载

瑞星的相关说明如下：

8月29日，瑞星全球反病毒监测网截获一个修改用户IE浏览器首页的病毒，并命名为诡秘下载器变种CXW（Trojan.DL.Delf.cxw）病毒。瑞星反病毒专家介绍说，该病毒侵入用户电脑后，会把IE浏览器的首页设置为7939.com，并且每隔2秒钟就检查一次，如果被用户修改则将其改回，使用户无法手工恢复成正常首页。

瑞星反病毒专家表示，目前无法通过技术手段确定该病毒的作者。而许多网友在网上发贴认为，该病毒非常可能与7939.com有关。专家认为，由于此类病毒往往是通过恶意网站散布，或者与某些软件进行捆绑欺骗用户下载安装，要想确定散布者并取得有关证据比较困难。

记者登陆7939.com之后看到，该网站站长在博客中辩解说“7939网站无毒，也并无任何弹出”，但该博客中没有说到是否利用了软件捆绑手段、网站合作等方式进行推广。有业界人士认为，目前进行恶意推广的网站很少在自己的网页中放入恶意软件或病毒，这些推广往往通过合作网站、软件捆绑插件等形式来进行。

瑞星技术部门对该病毒的分析表明，该病毒除了修改用户的首页之外，还会终止或影响多个安全软件的正常工作，从而使用户面临极大的安全风险。截至8月30日14：00，记者用“7939 流氓”在Google上搜索，已经能够搜到3210个网页。瑞星公司表示，已经收到数千中毒用户的求助。

瑞星反病毒专家提醒广大用户，该类病毒一般通过恶意网站、软件捆绑插件等形式传播，近期用户应该采取以下措施进行防范：不要随意从网上下载软件，下载软件后及时用杀毒软件进行扫描；不要浏览不良网站。针对该病毒，瑞星公司已经升级，瑞星杀毒软件2006版18.42.12版及以上版本即可查杀该病毒。中毒用户也可登陆瑞星远程救助中心，寻求专家的帮助。 参考技术A 我刚才也是和你的一样,用百度超级搜霸修复一下就好了啊.给你网址不用下载任何软件,http://bar.baidu.com/sobar/rehab.html修复后更改一下主页,改成使用空白主页.更改主页应该不用我说了吧. 参考技术B 用超级兔子修复ie
再用360安全卫士查杀恶意软件试试 参考技术C 呵呵，这个网站太强了
你可以尝试360安全卫士修复 参考技术D 到这里，按上面的步骤，搞掉7939病毒：
http://forum.ikaka.com/topic.asp?board=28&artid=8157088