致“Devilink”:关于“感染.exe”运行后的杀毒问题
下载运行了你那个“感染.exe”。
这个“感染.exe”运行后的杀毒问题,主要是————如何解决被病毒替换的系统文件rpcss.dll。
我用IceSword搞掂了它。操作流程如下:
1、先断开网络,删除当前用户临时文件夹中的所有文件,清空IE缓存。
2、从同类系统中拷贝一个正常的rpcss.dll到C盘根目录下备用。
3、用IceSword禁止进程创建。结束系统核心进程以外的所有进程(包括explorer.exe)
4、用IceSword强制删除system32目录下的下列文件
apa.dll
arpcss.dll
rpcss.dll
rpcss.dllxxxxxx(xxxxx代表数字。在system32目录下,这样的rpcss.dllxxxxxx有若干个,都要删除。)
5、用IceSword将刚才从正常系统中拷贝过来的、暂时存放的C盘根目录下的那个rpcss.dll拷贝到system32目录下。
6、打开注册表编辑器,展开HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\,用IceSword删除键值: pending file rename options。
7、取消IceSword的禁止进程创建。重启。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.01
