前几天,在网上找点东西,不小心中了rpcss.dll病毒,该病毒把rpcss.dll替换成它的,然后在c:\windows\system32目录下会不断产生 rpcss.dllxxxxxxx(x是数字)的文件,据说该病毒是盗号病毒,因为我有安装影子系统,所以也没太在意,以为跟以往一样重启一下就没事了。我重启之后,刚开始还没事,可我启动有些exe文件时,发现病毒复活了!
于是根据以往经验在网上找专杀工具,找了好几个,杀完重启后病毒还是复活。折腾了两天,有点没辙了。
后来在网上找到一个贴子,介绍了怎样清除这种病毒:
1、先断开网络,删除当前用户临时文件夹中的所有文件,清空IE缓存。 2、从同类系统中拷贝一个正常的rpcss.dll到C盘根目录下备用。 3、用IceSword禁止进程创建。结束系统核心进程以外的所有进程(包括explorer.exe) 4、用IceSword强制删除system32目录下的下列文件 apa.dll arpcss.dll rpcss.dll rpcss.dllxxxxxx(xxxxx代表数字。在system32目录下,这样的rpcss.dllxxxxxx有若干个,都要删除。) 5、用IceSword将刚才从正常系统中拷贝过来的、暂时存放的C盘根目录下的那个rpcss.dll拷贝到system32目录下。 6、打开注册表编辑器,展开HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\,用IceSword删除键值: pending file rename options。 7、取消IceSword的禁止进程创建。重启。
我对照着看了一下,
第3步说得有些语焉不详,不知道所谓的系统核心进程是哪几个,尝试着杀了一下进程,却导致了系统蓝屏并报硬盘错误。看来杀进程之路不是我等菜鸟可为之的。
再看第4步,我的系统目录有没有apa.dll和arpcss.dll两个文件,看来我中的是变种,特征与那位仁兄有所不同。
再看第6步,在注册表里找到键、
HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\PendingFileRenameOptions
该键的值好长一堆:
\??\I:\卡巴斯基7.0\360safe\update\~1D.tmp \??\I:\卡巴斯基7.0\360safe\update\~16.tmp \??\I:\卡巴斯基7.0\360safe\update\~17.tmp \??\I:\卡巴斯基7.0\360safe\update\~1F.tmp \??\I:\卡巴斯基7.0\360safe\update\~20.tmp \??\I:\卡巴斯基7.0\360safe\update\~27.tmp \??\I:\卡巴斯基7.0\360safe\update\~2D.tmp \??\I:\卡巴斯基7.0\360safe\update\~33.tmp \??\I:\卡巴斯基7.0\360safe\update\~36.tmp \??\I:\卡巴斯基7.0\360safe\update\~37.tmp \??\I:\卡巴斯基7.0\360safe\update\~44.tmp \??\I:\卡巴斯基7.0\360safe\update\~5A.tmp \??\I:\卡巴斯基7.0\360safe\update\~F.tmp \??\I:\卡巴斯基7.0\360safe\update\~tmD.tmp \??\C:\Temp\~149a7d8.tmp \??\C:\windows\system32\apa.dll \??\C:\windows\system32\rpcss.dll21616968 \??\C:\Temp\~149a7d8.tmp \??\C:\Temp\~149a7d8.tmp \??\C:\windows\system32\rpcss.dll \??\C:\windows\system32\rpcss.dll21642937 \??\C:\windows\system32\rpcss.dll \??\C:\windows\system32\rpcss.dll21645078 \??\C:\windows\system32\rpcss.dll \??\C:\windows\system32\rpcss.dll21646968 \??\C:\WINDOWS\system32\rpcss.dll~~21613609 \??\C:\windows\system32\rpcss.dll \??\C:\windows\system32\rpcss.dll21649609 \??\C:\windows\system32\rpcss.dll21649984 ……中间省略2000+行 \??\C:\windows\system32\rpcss.dll22774906
看到这些信息,给了我一些信息,我有可能已经找到了病毒复活的关键所在了:
\??\I:\卡巴斯基7.0\360safe\update\~1D.tmp
我的360safe装在了I分区,而我的影子系统设置为只保护C分区,所以即使重启,影子系统也没能把病毒清理干净。而病毒在I分区是放在了360safe的更新目录中,利用360safe的自动更新功能来运行病毒副本,从而使病毒复活。看来病毒的作者用心良苦啊。
为了验证我的猜想是否正确,我关闭系统并用U盘启动了WinPE,然后把
I:\卡巴斯基7.0\360safe\update\
目录下的文件都删除掉,C分区下的病毒文件已经被影子系统清理掉了,不再需要我操作,注册表也是,不需要再去手工删除
HKLM\SYSTEM\CURRENTCONTROLSE\CONTRL\SESSION MANAGER\PendingFileRenameOptions
这个键。
处理完后,重启,再试着运行一些程序,到目前为止尚未(20小时)没发现病毒复活。
===============================================
本来,我以为病毒复活可能是病毒感染了C分区以外的可执行文件,我的电脑上有一大半都是绿色软件,如果真感染了非C分区的可执行文件,那就麻烦大了。还好不是。
===============================================
2010.07.26
再次痛苦地发现:病毒复活了,看来把非C分区的一些exe文件感染了,难道真的非要我格全盘不可?
==========================================