扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:豆豆网 来源:豆豆网 2008年8月21日
关键字: 防病毒 mmc.exe taskmgr.exe debug.exe
如果发现系统文件mmc.exe被病毒替换并异常的驻留进程中,那么重新找相同系统的正常文件来替换这mmc.exe的同时,必须要一起替换系统user32.dll 和winhlp32.exe文件。
否则重启电脑将无法进系统。
如果发现系统文件debug.exe和taskmgr.exe被病毒替换,并异常的驻留进程中
那么重新找相同系统的正常文件来替换这debug.exe和taskmgr.exe的同时,必须要一起替换系统comctl32.dll 文件。
否则也会导致重启不能进系统的。
请各位一定要注意。
并且目前我知道的这些还不一定能确保正确。
还是需要谨慎处理。
为完全考虑
同时在这阵中木马群病毒的系统中有下面服务项被病毒恶搞:
==================================
服务
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
<C:WINDOWSsystem32svchost -k rpcss-->C:WINDOWSsystem32srpcss.dll><N/A>
就这个服务项,不能动它
在处理完其他以后,用Windows清理助手升级后可以自动修复它。
如果动了它,将出现无法复制粘贴,以及其他的莫名其妙的系统异常。
这时就得自己设法解决其被删除项目以及文件的问题。
这里有详细说明:
系统无法复制粘贴拖动--都是rpc服务惹的祸。
近日发现论坛上有篇关于IE下不能复制粘贴的求助,当时看后并没太在意,只当成一般的右键无法使用的情况。昨天,本人在处理一台病毒机器后,意外的发现自己也碰到了这种情况,系统不能复制粘贴、拖动、IE窗口下的下级链接不能打开、无法使用搜索功能等等现象。这是怎么回事?
本人开始检查系统,在进行sreng扫描时程序提示系统rpc服务出错,现进行自动修复。难道是rpc服务造成的吗?通过检查发现系统rpc服务被病毒修改成:c:windowssystem32svchost.exe rpcss c:windowssystem32srpcss.dll,srpcss.dll文件为病毒文件,正常文件应为c:windowssystem32 pcss.dll。病毒文件被杀软删除后该服务被停用,此时就是重新开启服务也是不可能达到的。后通过修改注册表数值来修复该服务,重启后一切恢复正常。
简单分析下,病毒修改svchost.exe的参数用于启动病毒文件进行破坏。删除病毒文件就造成rpc服务被停用,于是就发现了上述的各种现象。它用于本地计算机的远程程序调用服务,是本地网络的公用服务。这个服务对你系统的正常运行是非常重要的。
处理方法,先找到rpcss.dll文件进行检查,看文件是否正常。然后打开注册表编辑器,搜索srpcss.dll文件,将所有搜索到的有关srpcss.dll的位置改成rpcss.dll。接下来在运行中打入services.msc,找到Remote Procedure Call (RPC),右键点启动。重启后将一切恢复正常。
这次的木马群因为包含javqhc病毒,导致很多常用安全软件不能使用。
个人自助临时的应急处理,可以这样试试:
再去这里下载W i n d o w s 清理助手特征库文件。
点击下载:
下载后直接将清理助手的特征库文件“ar.dat”放到我那附件的“1234.exe”文件所在的同文件夹里。
然后运行“1234.exe”文件选择快速扫描。勾选所有,执行清理。
附件内附设置和操作说明图,依图设置操作。
不论清理结果怎样,清理完后都需要立即重启电脑,尝试进安全模式下继续清理一次。
记住千万不能让QQ开机自启动,必须去开始菜单的“启动”文件夹里删除QQ的东西。
然后还得在清理后去删除QQ目录里的wsock32.dll文件,否则一运行QQ软件,可能病毒还会复发。没这文件就不管了。
重启清理完以后,去下载最新SRENG工具:
扫描个新的2.6版的SRENG日志发到论坛上求助打扫残余。
或者自己也可以去尝试开启其他杀毒软件升级杀毒了。
如果系统无异常了,也可以自己在SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”
然后就可以解决浏览部分网页异常转向的问题了。
对于常规替换,有时候也许不好替换
比如EXPLORER.EXE
求助者可能不知道拷来后怎么替换,安装PE或者有光盘的更是寥寥可数
系统文件,推荐系统干净时,开启文件保护
XDELBOX自带了替换功能(谨慎使用)
例:对于ANI.ANI /机器狗,需要替换USERINIT
只要复制正常userinit.exe到系统system32 命名为ok.exe ,复制如下命令:
dos#ren C:WINDOWSsystem32ok.exe userinit.exe
然后使用右键-剪贴板导入不检查路径
右键-立刻重启删除即可
对于多个系统文件被替换
可以使用XDELBOX一并进行恢复,首先把正常系统文件复制到目录并命名(这里加都+OK)
example01:
dos#ren C:WINDOWSsystem32mmcok.exe mmc.exe
dos#ren C:WINDOWSsystem32winhlp32ok.exe winhlp32.exe
dos#ren C:WINDOWSsystem32user32ok.dll user32.dll
example02:
dos#ren C:WINDOWSsystem32askmgrok.exe taskmgr.exe
dos#ren C:WINDOWSsystem32debugok.exe debug.exe
dos#ren C:WINDOWSsystem32comctl32ok.dll comctl32.dll
如果不习惯
附件的REPLACER用于单个,安静地替换系统文件(当前运行的文件也可以,不进安全模式也可以,但是替换完需要重启)
支持到XP SP2
第一个是目标文件(要替换的文件)
第二个是备份目标文件到目录(保存样本)
第三行是我们的正常文件
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。