科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道关于debug.exe和taskmgr.exe以及mmc.exe的替换问题

关于debug.exe和taskmgr.exe以及mmc.exe的替换问题

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果发现系统文件mmc.exe被病毒替换并异常的驻留进程中,那么重新找相同系统的正常文件来替换这mmc.exe的同时,必须要一起替换系统user32.dll 和winhlp32.exe文件。

作者:豆豆网 来源:豆豆网 2008年8月21日

关键字: 防病毒 mmc.exe taskmgr.exe debug.exe

  • 评论
  • 分享微博
  • 分享邮件

如果发现系统文件mmc.exe被病毒替换并异常的驻留进程中,那么重新找相同系统的正常文件来替换这mmc.exe的同时,必须要一起替换系统user32.dll 和winhlp32.exe文件。

否则重启电脑将无法进系统。

如果发现系统文件debug.exe和taskmgr.exe被病毒替换,并异常的驻留进程中

那么重新找相同系统的正常文件来替换这debug.exe和taskmgr.exe的同时,必须要一起替换系统comctl32.dll 文件。

否则也会导致重启不能进系统的。

请各位一定要注意。

并且目前我知道的这些还不一定能确保正确。

还是需要谨慎处理。

为完全考虑

同时在这阵中木马群病毒的系统中有下面服务项被病毒恶搞:

==================================

服务

[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]

<C:WINDOWSsystem32svchost -k rpcss-->C:WINDOWSsystem32srpcss.dll><N/A>

就这个服务项,不能动它

在处理完其他以后,用Windows清理助手升级后可以自动修复它。

如果动了它,将出现无法复制粘贴,以及其他的莫名其妙的系统异常。

这时就得自己设法解决其被删除项目以及文件的问题。

这里有详细说明:

系统无法复制粘贴拖动--都是rpc服务惹的祸。

近日发现论坛上有篇关于IE下不能复制粘贴的求助,当时看后并没太在意,只当成一般的右键无法使用的情况。昨天,本人在处理一台病毒机器后,意外的发现自己也碰到了这种情况,系统不能复制粘贴、拖动、IE窗口下的下级链接不能打开、无法使用搜索功能等等现象。这是怎么回事?

本人开始检查系统,在进行sreng扫描时程序提示系统rpc服务出错,现进行自动修复。难道是rpc服务造成的吗?通过检查发现系统rpc服务被病毒修改成:c:windowssystem32svchost.exe rpcss c:windowssystem32srpcss.dll,srpcss.dll文件为病毒文件,正常文件应为c:windowssystem32 pcss.dll。病毒文件被杀软删除后该服务被停用,此时就是重新开启服务也是不可能达到的。后通过修改注册表数值来修复该服务,重启后一切恢复正常。

简单分析下,病毒修改svchost.exe的参数用于启动病毒文件进行破坏。删除病毒文件就造成rpc服务被停用,于是就发现了上述的各种现象。它用于本地计算机的远程程序调用服务,是本地网络的公用服务。这个服务对你系统的正常运行是非常重要的。

处理方法,先找到rpcss.dll文件进行检查,看文件是否正常。然后打开注册表编辑器,搜索srpcss.dll文件,将所有搜索到的有关srpcss.dll的位置改成rpcss.dll。接下来在运行中打入services.msc,找到Remote Procedure Call (RPC),右键点启动。重启后将一切恢复正常。

这次的木马群因为包含javqhc病毒,导致很多常用安全软件不能使用。

个人自助临时的应急处理,可以这样试试:

再去这里下载W i n d o w s 清理助手特征库文件。

点击下载:

下载后直接将清理助手的特征库文件“ar.dat”放到我那附件的“1234.exe”文件所在的同文件夹里。

然后运行“1234.exe”文件选择快速扫描。勾选所有,执行清理。

附件内附设置和操作说明图,依图设置操作。

不论清理结果怎样,清理完后都需要立即重启电脑,尝试进安全模式下继续清理一次。

记住千万不能让QQ开机自启动,必须去开始菜单的“启动”文件夹里删除QQ的东西。

然后还得在清理后去删除QQ目录里的wsock32.dll文件,否则一运行QQ软件,可能病毒还会复发。没这文件就不管了。

重启清理完以后,去下载最新SRENG工具:

扫描个新的2.6版的SRENG日志发到论坛上求助打扫残余。

或者自己也可以去尝试开启其他杀毒软件升级杀毒了。

如果系统无异常了,也可以自己在SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

然后就可以解决浏览部分网页异常转向的问题了。

对于常规替换,有时候也许不好替换

比如EXPLORER.EXE

求助者可能不知道拷来后怎么替换,安装PE或者有光盘的更是寥寥可数

系统文件,推荐系统干净时,开启文件保护

XDELBOX自带了替换功能(谨慎使用)

例:对于ANI.ANI /机器狗,需要替换USERINIT

只要复制正常userinit.exe到系统system32 命名为ok.exe ,复制如下命令:

dos#ren C:WINDOWSsystem32ok.exe userinit.exe

然后使用右键-剪贴板导入不检查路径

右键-立刻重启删除即可

对于多个系统文件被替换

可以使用XDELBOX一并进行恢复,首先把正常系统文件复制到目录并命名(这里加都+OK)

example01:
dos#ren C:WINDOWSsystem32mmcok.exe mmc.exe
dos#ren C:WINDOWSsystem32winhlp32ok.exe winhlp32.exe
dos#ren C:WINDOWSsystem32user32ok.dll user32.dll

example02:
dos#ren C:WINDOWSsystem32askmgrok.exe taskmgr.exe
dos#ren C:WINDOWSsystem32debugok.exe debug.exe
dos#ren C:WINDOWSsystem32comctl32ok.dll comctl32.dll

如果不习惯

附件的REPLACER用于单个,安静地替换系统文件(当前运行的文件也可以,不进安全模式也可以,但是替换完需要重启)

支持到XP SP2

第一个是目标文件(要替换的文件)

第二个是备份目标文件到目录(保存样本)

第三行是我们的正常文件

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章