瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » RPCSS.DLL被替换了怎么办?
【紫①】声音 - 2008-11-1 0:16:00
如下:



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TencentTraveler )

附件: 222.txt
aaccbbdd - 2008-11-1 0:17:00
http://bbs.ikaka.com/showtopic-8561436.aspx
2楼
【紫①】声音 - 2008-11-1 0:28:00
我是XPSP1的。。。。。
aaccbbdd - 2008-11-1 0:31:00
那看看周围谁是XP-SP1

拷个文件来:default3:
【紫①】声音 - 2008-11-1 3:34:00
好多软件都打不开呀,像是迅雷之类的,点了没反应。。。
重装都不行,怎么办?

最新扫描报告

附件: 000.txt
aaccbbdd - 2008-11-1 8:55:00
重装个XP-Sp3的系统
天云一剑 - 2008-11-1 9:09:00
[PID: 556 / SYSTEM] [\??\C:\WINDOWS\system32\winlogon.exe]  [(Infected) Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]




启动项目-注册表,如下删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Thunder5.exe]
    <IFEO[Thunder5.exe]><svchost.exe>  [(Verified)Microsoft Windows XP Publisher]

启动项目-服务-WIN32服务应用程序,以下设置为Disable
[riserver / riserver][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k riserver-->%SystemRoot%\System32\jnspri.dll><N/A>

启动项目-服务-驱动,以下设置为Disable
[ca99d57 / ca99d57][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\ca99d57.sys><N/A>



下载一个XPSP1的WINLOGON.EXE文件
做个批处理(新建一个321.BAT,右键点编辑),和下载的正常的winlogon.exe放在一起,双击BAT文件执行,内容如下:
 
sfc /purgecache  
ren %windir%\system32\winlogon.exe winlogon.bak
copy winlogon.exe %windir%\system32
shutdown -r -t 00


重启后将文件
c:windows\System32\jnspri.dll
C:\WINDOWS\System32\ca99d57.sys
压缩为RAR,上传到可疑文件交流区
【紫①】声音 - 2008-11-1 11:00:00


引用:
原帖由 天云一剑 于 2008-11-1 9:09:00 发表
[PID: 556 / SYSTEM] [\??\C:\WINDOWS\system32\winlogon.exe]  [(Infected) Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]




启动项目-注册表,如下删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows




别都做了,迅雷可以打开了,只有以下两个不明白什么意思。

1:[PID: 556 / SYSTEM] [\??\C:\WINDOWS\system32\winlogon.exe]  [(Infected) Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]

2:下载一个XPSP1的WINLOGON.EXE文件
做个批处理(新建一个321.BAT,右键点编辑),和下载的正常的winlogon.exe放在一起,双击BAT文件执行,内容如下:
 
sfc /purgecache  
ren %windir%\system32\winlogon.exe winlogon.bak
copy winlogon.exe %windir%\system32
shutdown -r -t 00
aaccbbdd - 2008-11-1 11:06:00
那是替换文件

winlogon.exe]  [(Infected)

表明
winlogon.exe被感染
需找正常文件替换
【紫①】声音 - 2008-11-1 11:10:00
重启后找不到如下文件。。。
c:windows\System32\jnspri.dll
C:\WINDOWS\System32\ca99d57.sys
aaccbbdd - 2008-11-1 11:26:00
是开机后的提示么?

启动项目-服务-WIN32服务应用程序,以下设置为Disable
[riserver / riserver][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k riserver-->%SystemRoot%\System32\jnspri.dll><N/A>

启动项目-服务-驱动,以下设置为Disable
[ca99d57 / ca99d57][Stopped/Manual Start]
  <\??\C:\WINDOWS\System32\ca99d57.sys><N/A>

是否操作了?
【紫①】声音 - 2008-11-1 11:47:00
以上兩個操作了,
开机后没什么提示,就是慢了点,(开机后到瑞星的小伞出现)
打开文件可软件的时间也长了,别的好像没什么了,
aaccbbdd - 2008-11-1 12:19:00
卡卡上网助手清理下垃圾文件吧
1
查看完整版本: RPCSS.DLL被替换了怎么办?
© 2000 - 2026 Rising Corp. Ltd.