误杀病毒导致“RPC服务不可用”解决一例

原本打算,在网络美文中渡过一个愉快的周末,SSM却不合时宜地弹出了报警窗口,提示c:/windows/fonts/comres.dll要运行,呈毫秒级地刷新窗口,阻止后关闭窗口又弹出。本着“内事不决问老婆,外事不决问谷歌”的原则,得到的反馈却是comres.dll被误杀的信息,顺手又点了“允许运行”,却弹出了更多的dll文件,文件名感觉是随机的,许多名字在谷歌中根本查不到结果,计算机反应开始迟钝,进而失去响应。

用安全卫士查杀后,重启扫描又重复生成,卡巴查杀亦不能解决问题。部分文件见图:

误杀病毒导致“RPC服务不可用”解决一例_第1张图片

正式模式登录后,显示出壁纸后再无响应,无法进入正常界面,强制CTRL+ALT+DEL,新建进程cmd,发现c:/windows/system32下又生成了jiocs.dll这样一个文件,删除后,系统正常进入,只是每次进入都会异常慢,想用超级兔子优化,运行却提示“RPC服务不可用”,从管理工具中,启用RPC服务时提示“模块不存在”,从别的计算机中复制rpcss.dll后,计算机恢复正常。

分析:
病毒应该是注入了rpcss.dll,导致每次重启都会重新生成,某次查杀后误杀了rpcss.dll,导致病毒清除后rpc服务无法启动。

收获:
1、Opera被越来越多的人使用,越来越多的漏洞也体现出现并被不法者利用。
2、系统知识是基础,否则会走弯路,因为病毒利用Userinit.exe启动,期间曾将其误删,给修复增加了许多麻烦。
3、在RPC上绕了一大圈,原本以为是注册表被破坏,最后才查出是模块文件被删,服务中显示的内容是“svchost.exe -k rpcss”,开始未曾意识到rpcss是文件,误以为只是个参数。

你可能感兴趣的:(误杀病毒导致“RPC服务不可用”解决一例)