误杀病毒导致“RPC服务不可用”解决一例

原本打算，在网络美文中渡过一个愉快的周末，SSM却不合时宜地弹出了报警窗口，提示c:/windows/fonts/comres.dll要运行，呈毫秒级地刷新窗口，阻止后关闭窗口又弹出。本着“内事不决问老婆，外事不决问谷歌”的原则，得到的反馈却是comres.dll被误杀的信息，顺手又点了“允许运行”，却弹出了更多的dll文件，文件名感觉是随机的，许多名字在谷歌中根本查不到结果，计算机反应开始迟钝，进而失去响应。

用安全卫士查杀后，重启扫描又重复生成，卡巴查杀亦不能解决问题。部分文件见图：

正式模式登录后，显示出壁纸后再无响应，无法进入正常界面，强制CTRL+ALT+DEL，新建进程cmd，发现c:/windows/system32下又生成了jiocs.dll这样一个文件，删除后，系统正常进入，只是每次进入都会异常慢，想用超级兔子优化，运行却提示“RPC服务不可用”，从管理工具中，启用RPC服务时提示“模块不存在”，从别的计算机中复制rpcss.dll后，计算机恢复正常。

分析：
病毒应该是注入了rpcss.dll，导致每次重启都会重新生成，某次查杀后误杀了rpcss.dll，导致病毒清除后rpc服务无法启动。

收获：
1、Opera被越来越多的人使用，越来越多的漏洞也体现出现并被不法者利用。
2、系统知识是基础，否则会走弯路，因为病毒利用Userinit.exe启动，期间曾将其误删，给修复增加了许多麻烦。
3、在RPC上绕了一大圈，原本以为是注册表被破坏，最后才查出是模块文件被删，服务中显示的内容是“svchost.exe -k rpcss”，开始未曾意识到rpcss是文件，误以为只是个参数。