瑞星卡卡安全论坛

昨天那个Rpcmon.exe已经压缩没加密（不知道怎么加密）发到你邮箱了
现在还是打不开网页，可以进QQ

【回复“再也不喝了”的帖子】
Bot后门Rpcmon.exe的查杀：

一、结束病毒进程Rpcmon.exe。
二、删除病毒文件%system%下的病毒文件Rpcmon.exe。（安装在C盘的XP系统，病毒文件在C:\windows\system32\文件夹中。）
三清理注册表：

1、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Rpcmon
2、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
删除：Rpcmon
3、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
删除：Rpcmon

四、运行WINDOWS UPDATE，去微软打补丁。

用3721在安全模式下修复也不成功
不知道怎么的，我的日志不能用文本文件发送
我先把3721修复IE后的日志压缩上来

附件: 5310812005815160842.rar

【回复“再也不喝了”的帖子】
邮件未收到.

Rpcmon.exe已经杀了，可IE还是打不开，我的是2000系统

可能IE文件受损或丢失了,请插入系统盘修复.

又发了一次

下面是你昨天回复我的我只删除了Rpcmon.exe别的没删除
D:\MSSQL7\Binn\sqlmangr.exe  这个是我工作用的软件
c:\PROGRA~1\chinanet\VNETTR~1.DLL
C:\WINNT\Downloaded Program Files\barhelp22.0.dll
wualalct.exe(显示隐藏文件用 开始--搜索功能找.)
这两个不知道是什么


晕,我还以为附件是病毒呢.

重启按F8进入安全模式下修复


R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINNT\Downloaded Program Files\barhelp22.0.dll
O4 - 启动项HKLM\\RunServices: [Windows Update] wualalct.exe
O4 - Global Startup: Service Manager.lnk = D:\MSSQL7\Binn\sqlmangr.exe
O23 - NT 服务: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINNT\system32\Rpcmon.exe
O23 - NT 服务: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINNT\system32\cfmon.exe (file missing)
O23 - NT 服务: Universal Plug and Play device driver (upnpdrv) - Unknown owner - C:\WINNT\system32\upnpdrv.exe (file missing)

停止Remote Procedure Call ,Sound Sservice Driver,Universal Plug and Play device driver 的服务.

停止服务:开始--控制面版--管理工具--服务--找到以上3项属性--改成已禁用

删除文件:
c:\PROGRA~1\chinanet\VNETTR~1.DLL
C:\WINNT\Downloaded Program Files\barhelp22.0.dll
wualalct.exe(显示隐藏文件用 开始--搜索功能找.)
D:\MSSQL7\Binn\sqlmangr.exe
C:\WINNT\system32\Rpcmon.exe

在未修复之前找到C:\WINNT\system32\Rpcmon.exe压缩加密virus发到我邮箱rsvirus@163.com谢谢.