realplayer.exe查杀方法

　　最近发现很多人都中了这个realplayer.exe 我拿到样本后测试了一下 这是个QQ的盗号木马，而且伪装成为real的进程 比较可恶。

　　运行realplayer.exe 后

　　发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll两个文件 且brlmon.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄

　　两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件

　　并且在注册表项上添加了2个启动项

　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　达到开机启动的目的

　　清除方法如下

　　打开任务管理器 结束Realplayer.exe

　　然后结束 Explorer进程

　　此时桌面可能没了 不要担心

　　然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到

　　C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 右键删除该文件

　　然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe　此时　桌面又回来了

　　结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll　否则删不掉

　　然后　用hijackthis修复

　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　这两项

　　修复注册表

　　开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT

　　和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown

　　整个项目　

　　至此　该病毒就被干掉了

　　附：hijackthis下载地址 HijackThis V1.99.1 简体中文版

　　修复方法：打开hijackthis 选择 仅执行扫描系统 然后在窗口里把

　　O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe

　　挑钩 点击下面的修复 即可