遭遇 木馬 srpcss.dll

ysjxjf發表於2008-11-03
RPCCSS

from : http://hi.baidu.com/coderui/blog/item/6faa40dded6a7fde8d1029d7.html

透過這個方法解決.在此,表示感謝!

[@more@]

///////////////////////////////////////////////////////////////////////////////////////////////
文章名稱:分析替換系統“rpcss.dll”檔案的病毒(附修復方法)
文章型別:病毒分析、系統修復
編寫作者:Coderui
編寫日期:2008年10月30日
作者部落格:
///////////////////////////////////////////////////////////////////////////////////////////////


英文名稱:TrojanSpy.OnLineGames.iyo
中文名稱:“網遊竊賊”變種iyo
病毒長度:12060位元組
病毒型別:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:c403b5d5ea1448efeb2d2ae71d41f5c3


============================================================================================
簡單描述:
該病毒會透過替換系統“rpcss.dll”檔案來實現開機自啟動。是一個專門竊取QQ網路遊戲帳號的木馬程式。同時,它還會竊取QQ網路遊戲使用者的密碼保護資料。

中毒現象:
1、防毒後系統不能上網。
2、防毒後系統貼上功能失效。
3、防毒後系統工作列上的部分資訊不能正常顯示。
4、防毒後系統桌面程式“explorer.exe”啟動非常慢,等好長時間才能顯示出來桌面。
============================================================================================

病毒釋放驅動“hm17002.sys”部分的分析:
============================================================================================
惡意驅動程式。
檔案大小:5,120 位元組。


可能是利用驅動安裝鉤子擷取QQ網路遊戲密碼,達到盜取遊戲帳號的目的:
!This program cannot be run in DOS mode.
e:qqsgsetloa~1setloa~1objfre_wnet_x86i386SetLoadHook.pdb
============================================================================================


============================================================================================
手動刪除該病毒的方法步驟(經過實際測試絕對有效):
1、刪除病毒檔案“C:DOCUME~1ADMINI~1LOCALS~1Temp~*.tmp”、“C:WINDOWSsystem32gdipro.dll”、“C:WINDOWSsystem32drivershm17002.sys”、“C:WINDOWSsystem32sys17002.dll”、“C:WINDOWSsystem32sys17002.add”、“C:WINDOWSsystem32rpcss.dll”
2、把系統檔案“C:WINDOWSsystem32srpcss.dll”改名為“C:WINDOWSsystem32rpcss.dll”。
3、把登錄檔“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssObjectName”鍵值改為“NT AUTHORITYNetworkService”。
4、把登錄檔“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssParametersServiceDll”鍵值改為“%SystemRoot%system32rpcss.dll”。
5、重新啟動計算機系統,系統防毒修復完畢(系統重新啟動後就可以上網了,貼上功能有效了,同時工作列的顯示也正常了)。
6、使用防毒軟體進行全盤查殺病毒(該病毒為木馬下載器下載到您計算機中的病毒,那個木馬下載器還下載了N多其它病毒也同時安裝到了您的計算機系統中)。
============================================================================================
///////////////////////////////////////////////////////////////////////////////////////////////

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/66634/viewspace-1012867/,如需轉載,請註明出處,否則將追究法律責任。

相關文章