遭遇 木馬 srpcss.dll
from : http://hi.baidu.com/coderui/blog/item/6faa40dded6a7fde8d1029d7.html
透過這個方法解決.在此,表示感謝!
[@more@]///////////////////////////////////////////////////////////////////////////////////////////////
文章名稱:分析替換系統“rpcss.dll”檔案的病毒(附修復方法)
文章型別:病毒分析、系統修復
編寫作者:Coderui
編寫日期:2008年10月30日
作者部落格:
///////////////////////////////////////////////////////////////////////////////////////////////
英文名稱:TrojanSpy.OnLineGames.iyo
中文名稱:“網遊竊賊”變種iyo
病毒長度:12060位元組
病毒型別:木馬
危險級別:★★
影響平臺:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:c403b5d5ea1448efeb2d2ae71d41f5c3
============================================================================================
簡單描述:
該病毒會透過替換系統“rpcss.dll”檔案來實現開機自啟動。是一個專門竊取QQ網路遊戲帳號的木馬程式。同時,它還會竊取QQ網路遊戲使用者的密碼保護資料。
中毒現象:
1、防毒後系統不能上網。
2、防毒後系統貼上功能失效。
3、防毒後系統工作列上的部分資訊不能正常顯示。
4、防毒後系統桌面程式“explorer.exe”啟動非常慢,等好長時間才能顯示出來桌面。
============================================================================================
病毒釋放驅動“hm17002.sys”部分的分析:
============================================================================================
惡意驅動程式。
檔案大小:5,120 位元組。
可能是利用驅動安裝鉤子擷取QQ網路遊戲密碼,達到盜取遊戲帳號的目的:
!This program cannot be run in DOS mode.
e:qqsgsetloa~1setloa~1objfre_wnet_x86i386SetLoadHook.pdb
============================================================================================
============================================================================================
手動刪除該病毒的方法步驟(經過實際測試絕對有效):
1、刪除病毒檔案“C:DOCUME~1ADMINI~1LOCALS~1Temp~*.tmp”、“C:WINDOWSsystem32gdipro.dll”、“C:WINDOWSsystem32drivershm17002.sys”、“C:WINDOWSsystem32sys17002.dll”、“C:WINDOWSsystem32sys17002.add”、“C:WINDOWSsystem32rpcss.dll”
2、把系統檔案“C:WINDOWSsystem32srpcss.dll”改名為“C:WINDOWSsystem32rpcss.dll”。
3、把登錄檔“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssObjectName”鍵值改為“NT AUTHORITYNetworkService”。
4、把登錄檔“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesrpcssParametersServiceDll”鍵值改為“%SystemRoot%system32rpcss.dll”。
5、重新啟動計算機系統,系統防毒修復完畢(系統重新啟動後就可以上網了,貼上功能有效了,同時工作列的顯示也正常了)。
6、使用防毒軟體進行全盤查殺病毒(該病毒為木馬下載器下載到您計算機中的病毒,那個木馬下載器還下載了N多其它病毒也同時安裝到了您的計算機系統中)。
============================================================================================
///////////////////////////////////////////////////////////////////////////////////////////////
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/66634/viewspace-1012867/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 遭遇木馬Trojan-PWS.Win32.Agent.BUWin32
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 木牛流馬
- 硬體木馬(一)
- 快速定位挖礦木馬 !
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- iexpress全力打造“免檢”木馬Express
- 木馬問題解決方案
- 貝殼木馬專殺工具怎麼用 貝殼木馬專殺工具使用教程
- 微信小程式swiper旋轉木馬微信小程式
- [病毒木馬] 檔案自刪除
- 記錄一次木馬排查
- 利用DNS隧道通訊木馬分析DNS
- linux下查詢php木馬LinuxPHP
- 巧設密碼氣死木馬密碼
- WindowsApache下防PHP木馬設定WindowsApachePHP
- 區別木馬與病毒,以及識別與防治木馬的方法
- Redis漏洞攻擊植入木馬逆向分析Redis
- 黑暗幽靈(DCM)木馬詳細分析
- Python編寫簡易木馬程式Python
- 程式猿生存指南-52 旋轉木馬
- 萌新之php一句話木馬PHP
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- 分離帶木馬檔案的方法
- 用工作管理員揪出暗藏的木馬
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 怎麼清理webshell木馬後門檔案Webshell
- 謹防垃圾郵件,小心感染Emotet木馬
- 伺服器SSH後門木馬查殺伺服器
- 教你如何找到執行緒插入式木馬執行緒
- 警惕“仙劍”木馬篡改瀏覽器首頁瀏覽器
- 木馬藏在何處-遠離遠端控制