关于debug.exe和taskmgr.exe以及mmc.exe的替换问题

如果发现系统文件mmc.exe被病毒替换并异常的驻留进程中，那么重新找相同系统的正常文件来替换这mmc.exe的同时，必须要一起替换系统user32.dll 和winhlp32.exe文件。

否则重启电脑将无法进系统。

如果发现系统文件debug.exe和taskmgr.exe被病毒替换，并异常的驻留进程中

那么重新找相同系统的正常文件来替换这debug.exe和taskmgr.exe的同时，必须要一起替换系统comctl32.dll 文件。

否则也会导致重启不能进系统的。

请各位一定要注意。

并且目前我知道的这些还不一定能确保正确。

还是需要谨慎处理。

为完全考虑

同时在这阵中木马群病毒的系统中有下面服务项被病毒恶搞：

==================================

服务

[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]

<C:WINDOWSsystem32svchost -k rpcss-->C:WINDOWSsystem32srpcss.dll><N/A>

就这个服务项，不能动它

在处理完其他以后，用Windows清理助手升级后可以自动修复它。

如果动了它，将出现无法复制粘贴，以及其他的莫名其妙的系统异常。

这时就得自己设法解决其被删除项目以及文件的问题。

这里有详细说明：

系统无法复制粘贴拖动－－都是rpc服务惹的祸。

近日发现论坛上有篇关于IE下不能复制粘贴的求助，当时看后并没太在意，只当成一般的右键无法使用的情况。昨天，本人在处理一台病毒机器后，意外的发现自己也碰到了这种情况，系统不能复制粘贴、拖动、IE窗口下的下级链接不能打开、无法使用搜索功能等等现象。这是怎么回事？

本人开始检查系统，在进行sreng扫描时程序提示系统rpc服务出错，现进行自动修复。难道是rpc服务造成的吗？通过检查发现系统rpc服务被病毒修改成：c:windowssystem32svchost.exe rpcss c:windowssystem32srpcss.dll，srpcss.dll文件为病毒文件，正常文件应为c:windowssystem32 pcss.dll。病毒文件被杀软删除后该服务被停用，此时就是重新开启服务也是不可能达到的。后通过修改注册表数值来修复该服务，重启后一切恢复正常。

简单分析下，病毒修改svchost.exe的参数用于启动病毒文件进行破坏。删除病毒文件就造成rpc服务被停用，于是就发现了上述的各种现象。它用于本地计算机的远程程序调用服务，是本地网络的公用服务。这个服务对你系统的正常运行是非常重要的。

处理方法，先找到rpcss.dll文件进行检查，看文件是否正常。然后打开注册表编辑器，搜索srpcss.dll文件，将所有搜索到的有关srpcss.dll的位置改成rpcss.dll。接下来在运行中打入services.msc，找到Remote Procedure Call (RPC)，右键点启动。重启后将一切恢复正常。

这次的木马群因为包含javqhc病毒，导致很多常用安全软件不能使用。

个人自助临时的应急处理，可以这样试试：

再去这里下载W i n d o w s 清理助手特征库文件。

点击下载：

下载后直接将清理助手的特征库文件“ar.dat”放到我那附件的“1234.exe”文件所在的同文件夹里。

然后运行“1234.exe”文件选择快速扫描。勾选所有，执行清理。

附件内附设置和操作说明图，依图设置操作。

不论清理结果怎样，清理完后都需要立即重启电脑，尝试进安全模式下继续清理一次。

记住千万不能让QQ开机自启动，必须去开始菜单的“启动”文件夹里删除QQ的东西。

然后还得在清理后去删除QQ目录里的wsock32.dll文件，否则一运行QQ软件，可能病毒还会复发。没这文件就不管了。

重启清理完以后，去下载最新SRENG工具：

扫描个新的2.6版的SRENG日志发到论坛上求助打扫残余。

或者自己也可以去尝试开启其他杀毒软件升级杀毒了。

如果系统无异常了，也可以自己在SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”

然后就可以解决浏览部分网页异常转向的问题了。

对于常规替换，有时候也许不好替换

比如EXPLORER.EXE

求助者可能不知道拷来后怎么替换，安装PE或者有光盘的更是寥寥可数

系统文件，推荐系统干净时，开启文件保护

XDELBOX自带了替换功能(谨慎使用)

例：对于ANI.ANI /机器狗，需要替换USERINIT

只要复制正常userinit.exe到系统system32 命名为ok.exe　，复制如下命令：

dos#ren C:WINDOWSsystem32ok.exe userinit.exe

然后使用右键-剪贴板导入不检查路径

右键-立刻重启删除即可

对于多个系统文件被替换

可以使用XDELBOX一并进行恢复，首先把正常系统文件复制到目录并命名（这里加都+OK）

example01:
dos#ren C:WINDOWSsystem32mmcok.exe mmc.exe
dos#ren C:WINDOWSsystem32winhlp32ok.exe winhlp32.exe
dos#ren C:WINDOWSsystem32user32ok.dll user32.dll

example02:
dos#ren C:WINDOWSsystem32askmgrok.exe taskmgr.exe
dos#ren C:WINDOWSsystem32debugok.exe debug.exe
dos#ren C:WINDOWSsystem32comctl32ok.dll comctl32.dll

如果不习惯

附件的REPLACER用于单个，安静地替换系统文件（当前运行的文件也可以，不进安全模式也可以，但是替换完需要重启）

支持到XP SP2

第一个是目标文件（要替换的文件）

第二个是备份目标文件到目录（保存样本）

第三行是我们的正常文件