科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Rpcs.exe,Rpcs.dll,NTService32.dll木马的清除指南

Rpcs.exe,Rpcs.dll,NTService32.dll木马的清除指南

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

针对Rpcs.exe,Rpcs.dll,NTService32.dll木马的清除,本文给出了笔者的一点建议。

作者:天下无毒 来源:天下无毒 2008年8月22日

关键字: 木马 防病毒 NTService32.dll Rpcs.dll Rpcs.exe

  • 评论
  • 分享微博
  • 分享邮件

杀毒前关闭系统还原:右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。

清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

1 用工具killbox 分别填入如下的文件 选择“重启后删除”。

注意一次删多个文件的方法 看懂再操作。 (也就是你拷贝了一个文件进去后点清除,弹出的提示选NO ,直到最后一个文件输完再点YES)
killbox的下载及其用法见: http://post.baidu.com/f?kz=126275178 
C:\WINDOWS\system32\NTService32.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
c:\windows\system32\ntworkstan.dll
C:\WINDOWS\system32\RpcS.exe
c:\windows\system32\wnttech.dll
C:\WINDOWS\system32\NTService32.dll
C:\WINDOWS\Downloaded Program Files\839380\ExDLL.dll
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
C:\WINDOWS\Downloaded Program Files\839380\fshook.dll

重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------

2 SRENG删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

启动项目 -->注册表
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<uninsrest><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe>  [N/A]

启动项目 -->服务-->Win32服务应用程序
[WindowsNt Workstation / NTWorkStan]
<C:\WINDOWS\System32\svchost.exe -k NTWorkStan-->c:\windows\system32\ntworkstan.dll><Microsoft Corporation>
[Remote Procedure Call System(RPCS) / RpcS]
<C:\WINDOWS\system32\RpcS.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[WindowsNt Network Engine / wnttech]
<C:\WINDOWS\System32\svchost.exe -k wnttech-->c:\windows\system32\wnttech.dll><Microsoft Corporation>

启动项目 -->服务-->驱动程序(如果删不掉,就设置类型为disabled!)
ADProt / ADProt]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[cdnprot / cdnprot]
<2 - 系统找不到指定的文件。><N/A>

3 WINDOWS清理助手清理 参考
http://post.baidu.com/f?kz=149133630

杀毒前关闭系统还原:右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 

清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

1 用工具killbox 分别填入如下的文件 选择“重启后删除”。
注意一次删多个文件的方法 看懂再操作。 (也就是你拷贝了一个文件进去后点清除,弹出的提示选NO ,直到最后一个文件输完再点YES)
killbox的下载及其用法见: http://post.baidu.com/f?kz=126275178 
C:\WINDOWS\system32\NTService32.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe
c:\windows\system32\ntworkstan.dll
C:\WINDOWS\system32\RpcS.exe
c:\windows\system32\wnttech.dll
C:\WINDOWS\system32\NTService32.dll
C:\WINDOWS\Downloaded Program Files\839380\ExDLL.dll
C:\WINDOWS\system32\WebPageParser.dll
C:\WINDOWS\system32\Charset.dll
C:\WINDOWS\system32\CreateDomTree.dll
C:\WINDOWS\Downloaded Program Files\839380\fshook.dll
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------

2 SRENG删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

启动项目 -->注册表
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<uninsrest><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\uninrest.exe>  [N/A]

启动项目 -->服务-->Win32服务应用程序
[WindowsNt Workstation / NTWorkStan]
<C:\WINDOWS\System32\svchost.exe -k NTWorkStan-->c:\windows\system32\ntworkstan.dll><Microsoft Corporation>
[Remote Procedure Call System(RPCS) / RpcS]
<C:\WINDOWS\system32\RpcS.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[WindowsNt Network Engine / wnttech]
<C:\WINDOWS\System32\svchost.exe -k wnttech-->c:\windows\system32\wnttech.dll><Microsoft Corporation>

启动项目 -->服务-->驱动程序(如果删不掉,就设置类型为disabled!)
ADProt / ADProt]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[cdnprot / cdnprot]
<2 - 系统找不到指定的文件。><N/A>

3 WINDOWS清理助手清理 参考
http://post.baidu.com/f?kz=149133630

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章