瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“Devilink”:关于“感染.exe”运行后的杀毒问题

1   1  /  1  页   跳转

[原创] 致“Devilink”:关于“感染.exe”运行后的杀毒问题

收藏
本主题由 大版主 baohe 于 2010-3-7 11:23:11 执行 设置高亮 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-07 11:22 | 显示全部 短消息 资料
字号: 1楼

致“Devilink”:关于“感染.exe”运行后的杀毒问题

下载运行了你那个“感染.exe”。
这个“感染.exe”运行后的杀毒问题,主要是————如何解决被病毒替换的系统文件rpcss.dll。

我用IceSword搞掂了它。操作流程如下:
1、先断开网络,删除当前用户临时文件夹中的所有文件,清空IE缓存。
2、从同类系统中拷贝一个正常的rpcss.dll到C盘根目录下备用。
3、用IceSword禁止进程创建。结束系统核心进程以外的所有进程(包括explorer.exe)
4、用IceSword强制删除system32目录下的下列文件
apa.dll
arpcss.dll
rpcss.dll
rpcss.dllxxxxxx(xxxxx代表数字。在system32目录下,这样的rpcss.dllxxxxxx有若干个,都要删除。)

5、用IceSword将刚才从正常系统中拷贝过来的、暂时存放的C盘根目录下的那个rpcss.dll拷贝到system32目录下。
6、打开注册表编辑器,展开HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\,用IceSword删除键值: pending file rename options。
7、取消IceSword的禁止进程创建。重启。

用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.01
本帖被评分 1 次
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-07 13:12 | 显示全部 短消息 资料
字号: 2楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 梅罗 于 2010-3-7 12:44:00 发表
猫叔,这种rpcss.dll病毒一般都是把原来的改了个名字~这个改的是arpcss.dll
有些会改成Srpcss.dll~反正都在同一文件夹下~修复的时候删除病毒的那个rpcss.dll再把arpcss.dll改回来就好~
个人一点小补充~



完全染毒后,若不采取特殊措施,那个病毒文件rpcss.dll不能轻易删除的(你删除此文件后,病毒会立即补充)。


所谓“完全染毒”是指:先关闭所有安全软件。然后,再运行楼主提供的“感染.exe”。最后,重启系统。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-07 16:40 | 显示全部 短消息 资料
字号: 3楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 byxxdrls 于 2010-3-7 16:27:00 发表
延迟重命名项,貌似微软有警告的,不能随便修改这个键值的内容的。
那些重启删除的工具貌似利用的就是这个地方



安装程序,或windows更新,都可能写这个键值。


这个键值并非不能删除。


我的XP系统一直就是这个样子(下图)。系统加载、打补丁以及应用程序运行均无任何问题。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-10 14:56 | 显示全部 短消息 资料
字号: 4楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 x11lang 于 2010-3-9 23:35:00 发表

现在还有个问题,想请教你。原本感染的*.exe文件该如何修复呢?



原本感染的*.exe文件,瑞星最新病毒库已经可以修复。我用楼主在卡饭论坛提供的样本实验过。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-11 09:04 | 显示全部 短消息 资料
字号: 5楼

回复 18F benimtor 的帖子



引用:
原帖由 benimtor 于 2010-3-11 0:10:00 发表
修复后的文件,运行报错。内存不能为 “written”


附件是那位求助者提供的染毒样本“智能杀毒伴侣”。解压密码:123。

下图是瑞星杀毒前后“智能杀毒伴侣”的MD5比较:



下图是瑞星杀毒后的“智能杀毒伴侣”运行情况(正常):









附件: 智能杀毒伴侣.rar (2010-3-11 9:05:37, 647.02 K)
该附件被下载次数 241

最后编辑baohe 最后编辑于 2010-03-11 09:05:37
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-11 09:21 | 显示全部 短消息 资料
字号: 6楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 Luke8 于 2010-3-11 9:17:00 发表
斑竹,我想请问下,我看教义里说c盘的dllcache里面有备份文件.
为什么不用那里的,还要去下载网上的文件?

中了此毒后,dllcache里面的备份文件rpcss.dll、system32目录下的正常rpcss.dll已经被此毒删除。system32目录下的正常rpcss.dll被病毒改名为arpcss.dll。杀净病毒后,可以将system32目录下的arpcss.dll更名为rpcss.dll。重启系统。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-03-11 18:07 | 显示全部 短消息 资料
字号: 7楼

回复: 致“Devilink”:关于“感染.exe”运行后的杀毒问题



引用:
原帖由 Luke8 于 2010-3-11 17:50:00 发表
哦哦,原来如此,那具体的来说,这个rpcss.dll是做什么用途?



       DLL文件信息
  DLL 文件: rpcss 或者 rpcss.dll
  DLL 名称: Remote Procedure Call subsystem
  描述:
  rpcss.dll是分布式COM服务相关文件。
  属于: Windows
  系统 DLL文件: 是
  常见错误: File Not Found, Missing File, Exception Errors
  安全等级 (0-5): 0
  间谍软件: 否
  广告软件: 否
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT