我的首页被7939这个流氓网站篡改,无法恢复,急求高手指教!
我的首页被7939这个流氓网站篡改,无法恢复。虽然我用了GHOST进行恢复,仍然无法改回原来的hao123的首页,即使我直接用收藏夹里的hao123的地址,但是打开的仍然是7939的网页!我并没有使用过7939网页,也没有去过这个无耻的网站,只是很平常的上了常去的几个大网站,比如网易
谢谢各位大侠,我学会了不少电脑知识,在此诚挚的感谢大家!
由于自己太菜,修改了注册表后系统出现了问题,所以最后只有重装了系统。
步骤1、重启计算机,按F8键进入安全模式;
步骤2、把文件夹选项设置成:勾选“显示所有文件和文件夹”,并把“隐藏受保护的操作系统文件”之前的小勾去掉,查找以下文件并删除:
C:\Windows\System32\Realplayer.exe
C:\Windows\System32\brlmon.dll
步骤3、用注册表修复工具进行修复,或者手动修改好被恶意篡改的主页
步骤4、重启计算机
7939.com分析如下...
病毒分析:
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
手工清除:
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu
整个项目
6.打开C:\Documents and Settings\用户名\Local Settings\Temp
寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.最后记得一定要将主页改回来
附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可
此病毒变种很多 且每天更新 如果在出现变种请下载 专杀 查杀..
7939.com和7b.com.cn 专杀....
专杀清除
a) 下载附件 7939_7b_v1.zip 到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939_7b_v1.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式和浏览器(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机
你会发现在%SYSTEMDRIVE% (一般C:\ ) 下,会多了一个Suspect file的文件夹,删除就可以了
The attached BFU script is written by Krazaf/tkabc....
专杀下载地址⒈ : http://mopery.hits.io/7939_7b_v1.zip
专杀下载地址⒉ : http://space.uwants.com/batch.download.php?aid=89546
清除内存中的木马
在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程,单击鼠标右键,选择“结束进程”。
“Explorer.exe”进程被结束后将会看不到桌面图标和任务栏,这里按住“Ctrl+Alt+Del”键,启动任务管理器,点击菜单“文件→新建任务(运行…)”,输入“explorer.exe”,点击“确定”。
删除木马文件
打开我的电脑→工具→文件夹选项→查看→取消“隐藏已知类型文件的扩展名”前面的勾→确定。进入windows系统文件目录下,删除文件“realplayer.exe”、“brlmon.dll”或ravmon.dll。
修复注册表
点击开始→运行→regedit.exe→确定,打开注册表编辑器。
打开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersionRun,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
打开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersionRon,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
打开HKEY_LOCAL_MACHINE/SOFTWARE,将其下的“Microsoft NT”目录整个删除。
打开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft,将其下的“RunDown”目录整个删除。
修复IE首页
打开IE浏览器→工具→Internet选项→常规→自行设置IE的主页地址。
由于该病毒变种繁多,DLL文件名称不固定,手工清除有一定困难,可以使用杀毒软件进行清除。本回答被网友采纳
http://www.skycn.com/soft/14441.html
反浏览器劫持病毒,超越IE修复极限,立足永久修复的治本之点。同时具备IE修复、杀QQ病毒、杀各种以服务方式运行的病毒、杀各类木马(无进程木马、插入线程木马)、清除各种间谍广告程序、各种流行病毒及系统救援与日志上报于一身,一套等于多套。修复易死灰复燃顽固性、古怪性恶意网页所破坏的不能完全彻底修复的IE,专门清除间隔一段时间自动弹出恶意网页、多开几次IE及重起系统后又会被反复篡改的不能从注册表、进程、服务、启动项等清除的、挥之不去、除之不尽的奇怪恶意代码;一次性根除在用户在打开文本文件、可执行文件、浏览器、我的电脑、驱动器等又会死灰复燃的关联性病毒。在修复时自动为系统建立备份快照,自动创建浏览器劫持日志供用户查看、分析。特点:集预防、修复、免疫、救援四大功能于一身,无需实时监控,也可实现恶意网站预防及免疫,从而减少系统开销,已免疫过的恶意站点以后将不会被感染。可以清除用其他杀毒软件在正常模式与安全模式下也无法删除、清除失败的病毒文件。
重新启动系统后运行regedit进注册表找到HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run 删掉右边窗口里的Realplayer.exe
删掉IE主页中的7939网址.并将7939网址放入受限站点中
我的首页被7939这个流氓网站篡改,无法恢复,急求高手指教!
步骤3、用注册表修复工具进行修复,或者手动修改好被恶意篡改的主页 步骤4、重启计算机 7939.com分析如下...病毒分析:运行realplayer.exe 后 发现在C:\\windows\\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMo...
首页被锁死7939上网导航怎么办?
中了浏览器截止的病毒 他在试图修改你的主业,并切它回下载大量病毒 迅速感染你的系统造成系统 无法正常工作 1 手动彻底删除方法 1、在安全模式状态进入桌面,在运行中输入msconfig,在启动项中禁止bootstat.exe,realplayer.exe 2、打开的电脑,从工具->文件夹选项,在查看中,勾选[显示系统文件夹的内...
IE首页被强制修改为www.7939.com,改都改不回来,怎么办?
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。2、进入Windows系统文件目录下(默认为C:\\Windows\\System32),删除掉“realplayer.exe”、“brlmon.dll”(部分变种dll文件的名称为ravmon.dll)两个文件。三、...
麻烦请问我的浏览器总是出现7939上网导航的网页,而且无法更改主页,请帮 ...
以笔者的电脑为例,键值是http:\/\/www.sina.com.cn,它是可以修改的,用户可以改为自己常用的网址,或是改为“about:blank”,即空白页。这样,你重启IE就可以看到效果了。如果这种方法也不能奏效,那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序,就算你通过修改注册表恢复了IE首...
IE主页被www.7939.com篡改,无法恢复
应该是中木马了,先进安全模式查毒.1.开机按F8进安全模式 2.把文件夹选项中的"隐藏受保护的操作系统文件(推荐)"的勾取消,把"显示所有文件和文件夹"选中 3.删掉C:\\WINDOWS\\system32\\Realplayer.exe和相应的木马程序(要是知道的话)。然后把注册表启动项中的C:\\WINDOWS\\system32\\Realplayer.exe的...
我的主页被这个网址http:\/\/www.7939.com\/篡改了 怎么也改不回来 怎么办...
清除方法:在任务管理器里结束“realplayer.exe”和“explorer.exe”进程。后者结束后,将会看不到桌面和任务栏,按“Crtl+Alt+Del”组合键启动任务管理器,点击“应用程序--新任务”,新建这个进程(explorer.exe)--确定。在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和...
IE首页被篡改为www.7939.com该不过来了!~请高手指点
那里的人很好,专门对付这种流氓软件 我中了7939,他们有很热心解答,因为每个人的情况都不太一样,所以请发帖询问,并且附上360安全卫士的扫描报告(这个知道吗?就是装了这个软件以后,有一个“求助”的标志,然后会扫描系统,扫好以后的东西复制,贴过去就好~) 网站放在参考答案里了 最新专杀还没出来,只能手动搞定,但...
今天早上我的Internet主页老是7939网上导航,改了X+Y+Z遍,就是改不了...
这是因为有一些网页中含有恶意代码(俗称流氓网页),你无意登录后,会修改计算机的注册表键值.你只要打开浏览器就会弹这个网页.解决办法:1.手工修改注册表,需要一定的动手能力.2.用软件解决,常用的有"上网助手"或一些杀毒软件.转摘:网页恶意代码的预防 (瑞星公司)1、要避免被网页恶意代码感染,首先关键是...
我的一台机被http:\/\/www.7939.com\/撰改了主页,我改不过来了..
CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 显灰到这个项 然后就在右边就可以找到: Start Page 这个键值了 双击改成"about:blank”然后右击Internet Explorer选属性点使用空白就好了!(接下来如果不是菜鸟就在注册表中搜索w w w.7939 .com把查到的项,值都删除掉!)至此大功告成 ...
中了7939 这个是最新变态变种了!!!
8月29日,瑞星全球反病毒监测网截获一个修改用户IE浏览器首页的病毒,并命名为诡秘下载器变种CXW(Trojan.DL.Delf.cxw)病毒。瑞星反病毒专家介绍说,该病毒侵入用户电脑后,会把IE浏览器的首页设置为7939.com,并且每隔2秒钟就检查一次,如果被用户修改则将其改回,使用户无法手工恢复成正常首页。瑞星反...
