有网友碰到这样的问题“我的主页被这个网址http://www.7939.com/篡改了 怎么也改不回来 怎么办啊请问谁知道怎么做啊”。小编为您整理了以下解决方案,希望对您有帮助:
解决方案1:
这是一个木马病毒,该木马运行后会将用户的IE首页锁定在“7939上网导航”,同时该木马会尝试停止多种安全工具软件运行,并造成一些主流的杀软运行不正常。还能从指定的网页上下载新的病毒并运行。
清除方法:
在任务管理器里结束“realplayer.exe”和“explorer.exe”进程。
后者结束后,将会看不到桌面和任务栏,按“Crtl+Alt+Del”组合键启动任务管理器,点击“应用程序--新任务”,新建这个进程(explorer.exe)--确定。
在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。进入Windows目录下删除realplayer.exe/brlmon.dll(或者ravmon.dll)。
在开始运行里输入Regedit打开注册表,点位到H_C_U\Software\Microsoft\Windows\CurrentVersionRun,删除右侧的Realplayer.exe一项;定位并删除H_L_M\SOFTWARE\Microsoft\Windows\CurrentVersionRun右侧的Realplayer.exe一项;定位到H_L_M\SOFTWARE将其下的Microsoft NT分支整个删除;定位到H_L_M\SOFTWARE\Microsoft将其下的RunDown分支整个删除。
最后修改IE的首页为你喜欢的即可。
PS:由于该病毒变种很多,DLL文件的名称可能会有,需要你自己的判断,手工清除起来有一定的难度,因此可以配合冰刃(http://www.ttian.net/website/2005/0829/391.html)这个软件来进行。
-------摘自《电脑报》
解决方案2:
有这回事
解决方案3:
7939.com分析如下...
病毒分析:
运行realplayer.exe 后
发现在C:\windows\system32下生成了realplayer.exe和brlmon.dll,RavMon.dll,Rsvtub.dll(这3个文件会有一个,因为是3个变种)两个文件 且brlmon.dll或RavMon.dll或Rsvtub.dll插入Explorer进程 还好插入的是Explorer进程 比较好弄
realplayer.exe和brlmon.dll或RavMon.dll或Rsvtub.dll两个东西相互监视 所以即便结束了 realplayer.exe进程 也无法删除这个文件
并且在注册表项上添加了2个启动项
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
达到开机启动的目的
手工清除:
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
1.打开任务管理器 (Ctrl+ALT+DEL) 结束Realplayer.exe
然后结束 Explorer进程
此时桌面可能没了 不要担心
2.然后点击任务管理器上方的菜单栏中的 文件-新建任务-浏览 找到
C:\WINDOWS\system32\Realplayer.exe和C:\WINDOWS\system32\brlmon.dll 或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll右键删除该文件
3.然后文件-新建任务-浏览 打开C:\Windows\Explorer.exe 此时 桌面又回来了
(结束Explorer.exe是为了删除那个C:\WINDOWS\system32\brlmon.dll或者C:\WINDOWS\System32\RavMon.dll或者C:\WINDOWS\system32\Rsvtub.dll 否则删不掉)
4.然后 用hijackthis修复
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
这两项
5.修复注册表
开始 运行 输入regedit 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT
和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RunDown
HKLM\SOFTWARE\Microsoft\Baidu
整个项目
6.打开C:\Documents and Settings\用户名\Local Settings\Temp
寻找类似v2006XXXX.rar的文件把它删除 XXXX代表日期 比如 0829 0830 0831 0901 0902等
7.最后记得一定要将主页改回来
附:hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=81059
修复方法:打开hijackthis 选择 仅执行扫描系统 然后在窗口里把
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - 启动项HKLM\\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
挑钩 点击下面的修复 即可
此病毒变种很多 且每天更新 如果在出现变种请下载 专杀 查杀..
解决方案4:
你的机器中了一种木马,网上公布的有名的流氓软件.
病毒名称:“诡秘下载器”变种CXW(Trojan.DL.Delf.cxw)
病毒类型:流氓软件
该病毒运行后会从黑客指定的网站下载指令并运行,会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站,以提高该网站的访问量。该病毒会试图禁止多种安全工具软件运行,并会造成一些主流杀毒软件运行不正常。它还会自动从http//down.Viru??ky.com下载新的病毒并运行。
解决方法:
一、清除内存中的病毒
在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程,单击鼠标右键,选择“结束进程”。
“Explore.exe”进程被结束后将会看不到桌面图标和任务栏,这时按住Ctrl+Alt+Del键,启动任务管理器,点击菜单“文件”-》“新建任务(运行…)”,输入“explorer.exe”,点击“确定”。
二、删除病毒文件
1、打开“我的电脑”,选择菜单“工具”-》“文件夹选项”,点击“查看”,取消“隐藏已知类型文件的扩展名”前的对勾,然后点击“确定”。
2、进入Windows系统文件目录下(默认为C:\Windows\System32),删除掉“realplayer.exe”、“brlmon.dll”(部分变种dll文件的名称为ravmon.dll)两个文件。
三、修复注册表
1、点击“开始”菜单,选择“运行”,输入“regedit.exe”并确定,打开注册表编辑器。
2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
3、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,在右边的窗格中找到“Realplayer.exe”一项,将其删除。
4、打开HKEY_LOCAL_MACHINE\SOFTWARE,将其下的“Microsoft NT”目录整个删除(包含其下的子项)。
5、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft,将其下的“RunDown”目录整个删除(包含其下的子项)。
四、修复IE首页
打开IE浏览器,点击菜单“工具”-》“Internet选项”,打开“常规”选项页,在“主页”处自行设置IE的主页地址。
解决方案5:
http://post.baidu.com/f?kz=125854086
看一下这贴吧,我以前也被黑过,用超级兔子就搞定了,里面还有很多方法