【原创】不断中realplayer（www.7939.com）病毒的原因

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】不断中realplayer（www.7939.com）病毒的原因

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【原创】不断中realplayer（www.7939.com）病毒的原因

沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	发表于： 2006-09-03 11:27 \| 只看楼主短消息资料字号：小中大 1楼【原创】不断中realplayer（www.7939.com）病毒的原因前不久中了realplayer病毒，首页被篡改成http://www.7939.com，按照置顶贴的方式杀了，第二天一上网又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。解决方法：先按置顶贴的办法删除文件和注册表项（http://forum.ikaka.com/topic.asp?board=28&artid=8157088），然后找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。 2006-09-03 21:16:26
沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	分享到：

网络小强健康舞勺狮帖子:256 注册: 2006-07-18 来自:	发表于： 2006-09-03 11:35 \| 短消息资料字号：小中大 2楼我打开了C:\WINDOWS\system32\drivers\etc目录下的hosts文件发现里面只有一条东西``其他都没了``就一个IP`一个英文名字`
网络小强健康舞勺狮帖子:256 注册: 2006-07-18 来自:

沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	发表于： 2006-09-03 11:38 \| 只看楼主短消息资料字号：小中大 3楼那个文件就应该是空的，全删了就行。
沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:

小陈泉州初生襁褓狮帖子:14 注册: 2006-08-18 来自:	发表于： 2006-09-03 11:43 \| 短消息资料字号：小中大 4楼 5555555555,楼上的大大看看我的贴子.我刚刚被它耍了
小陈泉州初生襁褓狮帖子:14 注册: 2006-08-18 来自:

初生襁褓狮

帖子:14
注册: 2006-08-18
来自:

发表于： 2006-09-03 11:57 | 短消息资料

字号：小中大 5楼

引用:

【沉睡补丁的贴子】前不久中了realplayer病毒，杀了第二天又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。

解决方法：找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）

另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。
………………

老大,我打开文件了.可它里面就这些个东东:127.0.0.1 localhost. 也照删不误吗?

歪博拙长孩提狮帖子:75 注册: 2004-09-23 来自:	发表于： 2006-09-03 12:05 \| 短消息资料字号：小中大 6楼谢谢楼主提供此方法,这两天被这病毒弄得郁闷,现在是不再弹出来了!!!!
歪博拙长孩提狮帖子:75 注册: 2004-09-23 来自:

yueying 初生襁褓狮帖子:32 注册: 2005-01-12 来自:	发表于： 2006-09-03 12:06 \| 短消息资料字号：小中大 7楼楼上的我是将它删除了，这个病毒真几吧闹心，我重做系统3次，还是逃不过这个家伙。
yueying 初生襁褓狮帖子:32 注册: 2005-01-12 来自:

单纯的玉米快乐黄口狮帖子:164 注册: 2006-08-28 来自:	发表于： 2006-09-03 12:17 \| 短消息资料字号：小中大 8楼请问下127.0.0.1 localhost到底能不能删除?
单纯的玉米快乐黄口狮帖子:164 注册: 2006-08-28 来自:

歪博拙长孩提狮帖子:75 注册: 2004-09-23 来自:	发表于： 2006-09-03 12:17 \| 短消息资料字号：小中大 9楼重做系统也没用,我了做了好几遍,还是弹出来
歪博拙长孩提狮帖子:75 注册: 2004-09-23 来自:

沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	发表于： 2006-09-03 12:24 \| 只看楼主短消息资料字号：小中大 10楼 127.0.0.1 localhost可以删的，这个是指向本机的地址，没关系。如果只有这一条说明还没有被篡改。
沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	发表于： 2006-09-03 11:27 \| 只看楼主短消息资料字号：小中大 1楼【原创】不断中realplayer（www.7939.com）病毒的原因前不久中了realplayer病毒，首页被篡改成http://www.7939.com，按照置顶贴的方式杀了，第二天一上网又中，昨天研究了一晚上，发现是病毒篡改了hosts文件，将sina，sohu等门户网站的ip解析至59.34.197.239（是湛江的ip，不同的病毒版本有不同的ip），于是大家一上这些门户网站就被劫持到这个网站下载最新的病毒。解决方法：先按置顶贴的办法删除文件和注册表项（http://forum.ikaka.com/topic.asp?board=28&artid=8157088），然后找到C:\WINDOWS\system32\drivers\etc目录下的hosts文件，用记事本打开，看看sina，sohu等网站是不是都被改成了同样的地址，将里面的内容全部删除，并保存，重启。（记得不要保存成txt文件，就是hosts，没有后缀）另外，病毒好像是从这几个网站下载的：http://59.34.197.195、http://qidong.virussky.com、http://www.virussky.com，大家有瑞星防火墙的请在黑名单中将这几个网站屏蔽，没有的请打开ie的internet选项，点“内容”，在“分级审查”中选“设置”，在“许可站点”中输入这几个网址，添加的时候要点“从不”按钮。这样做以后我就再没复发过了。 2006-09-03 21:16:26
沉睡补丁初生襁褓狮帖子:13 注册: 2006-09-01 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】不断中realplayer（www.7939.com）病毒的原因

【原创】不断中realplayer（www.7939.com）病毒的原因

【原创】不断中realplayer（www.7939.com）病毒的原因

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】不断中realplayer（www.7939.com）病毒的原因