瑞星卡卡安全论坛

IE打不开,能上QQ,可很卡,检查出CPU被一个Rpcmon.exe的进程占满,老是百分百,可不能结束,也找不到,晕死了,请各位帮我看看

附件: 5310812005814133948.rar

晕,我还以为附件是病毒呢.

重启按F8进入安全模式下修复


R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINNT\Downloaded Program Files\barhelp22.0.dll
O4 - 启动项HKLM\\RunServices: [Windows Update] wualalct.exe
O4 - Global Startup: Service Manager.lnk = D:\MSSQL7\Binn\sqlmangr.exe
O23 - NT 服务: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe
O23 - NT 服务: Sound Sservice Driver  (Sound Service) - Unknown owner - C:\WINNT\system32\cfmon.exe (file missing)
O23 - NT 服务: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINNT\system32\upnpdrv.exe (file missing)

停止Remote Procedure Call ,Sound Sservice Driver,Universal Plug and Play device driver 的服务.

停止服务:开始--控制面版--管理工具--服务--找到以上3项属性--改成已禁用

删除文件:
c:\PROGRA~1\chinanet\VNETTR~1.DLL
C:\WINNT\Downloaded Program Files\barhelp22.0.dll
wualalct.exe(显示隐藏文件用 开始--搜索功能找.)
D:\MSSQL7\Binn\sqlmangr.exe
C:\WINNT\system32\Rpcmon.exe

在未修复之前找到C:\WINNT\system32\Rpcmon.exe压缩加密virus发到我邮箱rsvirus@163.com谢谢.

高手就是不一样.

不愧为高手!

我找不到啊

我倒~~~~~~~~~~
连路径都告诉你了居然找不到在哪??????

【回复“再也不喝了”的帖子】
Rpcmon.exe的查杀
一、结束病毒进程Rpcmon.exe。
二、删除C:\windows\system32\下的病毒文件Rpcmon.exe。
三、清理注册表：

1、展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
删除：Rpcmon
2、展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
删除：Rpcmon
3、展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除：Rpcmon
四、运行windows update，去微软打齐系统补丁。

在百度搜索的
锐杰科技病毒警讯
...继续执行下列步骤。 f. 跳到这个键: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices g. 删除右边窗格中的值: "Sysmon"="rpcmon.exe" h.结束并离开「登录编辑器」。 i.重新开机即可正常运作。
是蠕虫吗
我找不到C:\WINNT\system32\Rpcmon.exe
注册表能找到

问题，是我按路径真的找不到Rpcmon.exe啊

【回复“再也不喝了”的帖子】
按下图做好设置，再找。

附件: 1558472005814153820.jpg

在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮.然后在找

不能结束进程，点结束进程就说无法访问，在C:\WINNT\system32\下找不到Rpcmon.exe

引用:

【再也不喝了的贴子】不能结束进程，点结束进程就说无法访问，在C:\WINNT\system32\下找不到Rpcmon.exe ...........................

怎么这么费劲？！
下面这个帖子的3楼有IceSword下载。用它可以轻松搞定你的问题。
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

呵呵还是班竹厉害

斑竹我打不开网页，怎么下载啊
请问删除右边窗格中的值: "Sysmon"="rpcmon.exe"这个要删吗

引用:

【再也不喝了的贴子】斑竹我打不开网页，怎么下载啊 请问删除右边窗格中的值: "Sysmon"="rpcmon.exe"这个要删吗 ...........................

你不能找个没问题的电脑下载那个IceSword？怎么就不知道变通一下？

哎，我在乡下，方圆20里都没可以上网的电脑了，看来只有明天去别的地方下了

【回复“baohe”的帖子】
我已经下了那工具，上面提示新手慎用，请指教下我要注意什么

引用:

【再也不喝了的贴子】【回复“baohe”的帖子】 我已经下了那工具，上面提示新手慎用，请指教下我要注意什么 ...........................

主要一点：删除文件时，要认准了、确定无疑了，再动手。IceSword是不会给你“后悔药”吃的。

天天泡泡说：
此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃
内核调试器是什么，一般不会激活吧

引用:

【再也不喝了的贴子】天天泡泡说： 此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃 内核调试器是什么，一般不会激活吧 ...........................

一般不会。即或系统崩溃了，重启一下就完了。用了一年多了，我还没遇到过系统崩溃。

谢谢baohe，你永远是那么好，我明天就用你的方法去试下。
真的谢谢你，要是有妹妹就一定嫁给你

靠,杀个毒不用以身相许吧。汗~~~

【回复“蓝色的枫叶”的帖子】
哎呀,现在这么好的人少啥，你说是不是

引用:

【再也不喝了的贴子】谢谢baohe，你永远是那么好，我明天就用你的方法去试下。 真的谢谢你，要是有妹妹就一定嫁给你 ...........................

汗．．．．．．．

班主醒。班主劲。班主无得顶...顶顶....

baohe我按你的方法把Rpcmon删点了，可IE还是打不开网站，可以上QQ，用3721在安全模式下修复也没用，请帮忙

引用:

【再也不喝了的贴子】baohe我按你的方法把Rpcmon删点了，可IE还是打不开网站，可以上QQ，用3721在安全模式下修复也没用，请帮忙 ...........................

刚刚帮另一位解决了与你一样的问题。我的IE好好的，没任何问题。

附件: 1558472005815155842.jpg

现在的日志

附件: 5310812005815160032.rar

引用:

【再也不喝了的贴子】现在的日志 ...........................

又中了新的啦！
请把C:\WINNT\system32\wualalct.exe打包传上来。