前几天,在网上找点东西,不小心中了rpcss.dll病毒,该病毒把rpcss.dll替换成它的,然后在c:\windows\system32目录下会不断产生 rpcss.dllxxxxxxx(x是数字)的文件,据说该病毒是盗号病毒,因为我有安装影子系统,所以也没太在意,以为跟以往一样重启一下就没事了。我重启之后,刚开始还没事,可我启动有些exe文件时,发现病毒复活了! 
于是根据以往经验在网上找专杀工具,找了好几个,杀完重启后病毒还是复活。折腾了两天,有点没辙了。
后来在网上找到一个贴子,介绍了怎样清除这种病毒:
1、先断开网络,删除当前用户临时文件夹中的所有文件,清空IE缓存。
2、从同类系统中拷贝一个正常的rpcss.dll到C盘根目录下备用。
3、用IceSword禁止进程创建。结束系统核心进程以外的所有进程(包括explorer.exe)
4、用IceSword强制删除system32目录下的下列文件
apa.dll
arpcss.dll
rpcss.dll
rpcss.dllxxxxxx(xxxxx代表数字。在system32目录下,这样的rpcss.dllxxxxxx有若干个,都要删除。)
5、用IceSword将刚才从正常系统中拷贝过来的、暂时存放的C盘根目录下的那个rpcss.dll拷贝到system32目录下。
6、打开注册表编辑器,展开HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\,用IceSword删除键值: pending file rename options。
7、取消IceSword的禁止进程创建。重启。
我对照着看了一下,
第3步说得有些语焉不详,不知道所谓的系统核心进程是哪几个,尝试着杀了一下进程,却导致了系统蓝屏并报硬盘错误。看来杀进程之路不是我等菜鸟可为之的。
再看第4步,我的系统目录有没有apa.dll和arpcss.dll两个文件,看来我中的是变种,特征与那位仁兄有所不同。
再看第6步,在注册表里找到键、
HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\PendingFileRenameOptions
该键的值好长一堆:
\??\I:\卡巴斯基7.0\360safe\update\~1D.tmp
\??\I:\卡巴斯基7.0\360safe\update\~16.tmp
\??\I:\卡巴斯基7.0\360safe\update\~17.tmp
\??\I:\卡巴斯基7.0\360safe\update\~1F.tmp
\??\I:\卡巴斯基7.0\360safe\update\~20.tmp
\??\I:\卡巴斯基7.0\360safe\update\~27.tmp
\??\I:\卡巴斯基7.0\360safe\update\~2D.tmp
\??\I:\卡巴斯基7.0\360safe\update\~33.tmp
\??\I:\卡巴斯基7.0\360safe\update\~36.tmp
\??\I:\卡巴斯基7.0\360safe\update\~37.tmp
\??\I:\卡巴斯基7.0\360safe\update\~44.tmp
\??\I:\卡巴斯基7.0\360safe\update\~5A.tmp
\??\I:\卡巴斯基7.0\360safe\update\~F.tmp
\??\I:\卡巴斯基7.0\360safe\update\~tmD.tmp
\??\C:\Temp\~149a7d8.tmp
\??\C:\windows\system32\apa.dll
\??\C:\windows\system32\rpcss.dll21616968
\??\C:\Temp\~149a7d8.tmp
\??\C:\Temp\~149a7d8.tmp
\??\C:\windows\system32\rpcss.dll
\??\C:\windows\system32\rpcss.dll21642937
\??\C:\windows\system32\rpcss.dll
\??\C:\windows\system32\rpcss.dll21645078
\??\C:\windows\system32\rpcss.dll
\??\C:\windows\system32\rpcss.dll21646968
\??\C:\WINDOWS\system32\rpcss.dll~~21613609
\??\C:\windows\system32\rpcss.dll
\??\C:\windows\system32\rpcss.dll21649609
\??\C:\windows\system32\rpcss.dll21649984
……中间省略2000+行
\??\C:\windows\system32\rpcss.dll22774906
看到这些信息,给了我一些信息,我有可能已经找到了病毒复活的关键所在了:
\??\I:\卡巴斯基7.0\360safe\update\~1D.tmp
我的360safe装在了I分区,而我的影子系统设置为只保护C分区,所以即使重启,影子系统也没能把病毒清理干净。而病毒在I分区是放在了360safe的更新目录中,利用360safe的自动更新功能来运行病毒副本,从而使病毒复活。看来病毒的作者用心良苦啊。
为了验证我的猜想是否正确,我关闭系统并用U盘启动了WinPE,然后把
I:\卡巴斯基7.0\360safe\update\
目录下的文件都删除掉,C分区下的病毒文件已经被影子系统清理掉了,不再需要我操作,注册表也是,不需要再去手工删除
HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\PendingFileRenameOptions
这个键。
处理完后,重启,再试着运行一些程序,到目前为止尚未(20小时)没发现病毒复活。
===============================================
本来,我以为病毒复活可能是病毒感染了C分区以外的可执行文件,我的电脑上有一大半都是绿色软件,如果真感染了非C分区的可执行文件,那就麻烦大了。还好不是。
===============================================
2010.07.26
再次痛苦地发现:病毒复活了,看来把非C分区的一些exe文件感染了,难道真的非要我格全盘不可?
==========================================
分享到:
相关推荐
一、如果您的系统提示"找不到rpcss.dll "或"rpcss.dll 缺失" 或者"rpcss.dll 错误"等等,请不用担心,请把rpcss.dll 下载到本机。 二、直接拷贝该文件到系统目录里: 1、Windows 95/98/Me系统,将rpcss.dll 复制到...
标题中的“win2000 rpcss.dll 程序 杀毒后无法进行粘贴复制”揭示了一个在Windows 2000操作系统中遇到的问题,即用户在杀毒后发现无法执行复制和粘贴操作,这可能与系统的一个关键组件——rpcss.dll有关。rpcss.dll...
可修复常用的dll文件,例如:Dsound.dll,Ddraw.dll,D3d8.dll,rpcss.dll,olepro32.dll,d3d8thk.dll,wsock32.dll,comdlg32.dll,d3d9.dll,lpk.dll,kernel32.dll,ksuser.dll,urlmon.dll,npptools.dll,rundll32.exe,...
这阵中木马群的因为系统内rpcss服务对应文件rpcss.dll文件被病毒恶意替换 在后期的杀毒和病毒清理中,可能易出现不能复制粘贴的现象(为此我自己实机模拟了一下,并操作了几种恢复的方法) 还发现病毒替换系统重要...
rpcss
机器狗感染计算机后 这个系统文件就会被替换 如果你计算机上的这个文件没有微软的标签 那么就可以认为你的计算机感染了机器狗
病毒可能会将正常的rpcss.dll文件替换为恶意的srpcss.dll。解决方法是找到并检查rpcss.dll文件的正常性,然后在注册表中搜索并替换所有srpcss.dll为rpcss.dll的条目。接着启动Remote Procedure Call (RPC)服务,并...
- **简介**:`RPCSS.DLL`是实现分布式COM (Component Object Model) 服务的关键组件之一。 - **功能**: - 支持在不同的计算机上运行的对象之间的交互。 - 通过RPC机制实现对象的远程调用。 - 提供了对象的生命...
在"文件名称列表"中,"rpcss.dll"是一个动态链接库(DLL)文件,全称为Remote Procedure Call (RPC) Subsystem。RPC是Windows系统中的一个核心组件,用于不同进程间的通信,使得应用程序可以在本地或远程系统上执行...
rundll32.dll, FunctionName [Arguments] ``` 其中: - `dll` 是要调用的DLL文件名。 - `FunctionName` 是要执行的DLL函数名。 - `[Arguments]` 是传递给函数的参数。 这种方法适用于只需要执行DLL文件中的单一...
- 如果注册表中的`ServiceDll`键值对应的`rpcss.dll`文件不存在于`C:\Windows\System32`目录下,需要从其他可信任的电脑上复制该文件,并将其放置到`C:\Windows\System32`目录下。 - 注意:由于RPC服务无法启动,...
1. `rpcss.dll`:这是一个关键的系统动态链接库文件,全称为Remote Procedure Call (RPC) Subsystem。RPCSS是Windows操作系统的重要组成部分,它负责处理远程过程调用,支持服务和应用程序间的通信。如果这个文件...
rpcss.exe storage.dll stdole2.tlb stdole32.tlb imagehlp.dll dllhost.exe comcat.dll iprop.dll rpcmqcl.dll rpcmqsvr.dll olepro32.dll asycfilt.dll mfc40.dll msvcrt40.dll dcomcnfg.exe ...
3. 运行RPCSS.exe后,客户端才可建立连接。 4. 由于Server Component 是一个Class,当没有客户程序参照它时,它会自动终止。可是,Windows 95没有自动启动它的机制。所以,要保证Server Component不会从内存卸载,需在...
在命令提示符中,以管理员权限运行 `net stop spooler`,然后输入 `cd %SystemRoot%\System32`,接着运行 `regsvr32 printui.dll` 和 `regsvr32 rpcss.dll`,最后运行 `net start spooler` 以重启Print Spooler服务...
使用Fax服务和基于Ualapi.dll的DLL劫持的概念验证绑定外壳Ualapi.dll 。 请参阅我们的文章,为: ://windows-internals.com/faxing-your-way-to-system/ 如何使用 生成Ualapi.dll并放置在c:\windows\system32 启动...
17. rpcss.exe:远程过程调用(RPC)服务,处理并映射RPC调用给对应服务提供者。 18. services.exe:管理Windows服务,启动和控制系统中的服务。 19. smss.exe:会话管理子系统,初始化系统变量,调用Win32子系统...
- **描述**: kernel32.dll是Windows操作系统内核的重要组成部分,负责处理系统调用、内存管理等基础任务。 - **是否为系统进程**: 是 ### Security Account Manager (lsass.exe) - **文件路径**: lsass or lsass....
#### Kernel32.DLL (kernel32.dll) Kernel32是Windows内核的一部分,提供了许多核心系统服务,比如内存管理、进程和线程控制等。几乎所有的Windows程序都会用到Kernel32。 #### LSASS.EXE (lsass.exe) Local ...
- 删除相关文件:`r_server.exe`, `admdll.dll`, `radbrv.dll`。 ### 总结 以上介绍了几种常见的系统端口及其关闭方法,通过关闭这些端口可以在一定程度上增强系统的安全性。然而,需要注意的是,在实际操作过程中...