瑞星卡卡安全论坛

主机启动后，瑞星防火墙提示是否允许Rpcmon.exe进程访问网络，允许访问，系统正常运作3-5分钟后死机，拒绝访问网络，主机CPU占用马上到100%，无法进行其他操作，10分钟后也死掉了。。
    进入安全模式，该进程一样存在，无法结束，system32目录下找到该文件，也无法删除，查看注册表启动项，并无此进程。
    请教各位大虾，如何手工清楚掉这个病毒。小女子在此谢过各位了！！很急~``

沙发自己坐，命请大家救！！

用附件里的东西扫描一份日志上来看,不过我觉得这是漏洞攻击,那是不是你的系统没打全补丁呢.

附件: 5266442005817155728.rar

系统打的SP4补丁

引用:

【东方在线网管的贴子】主机启动后，瑞星防火墙提示是否允许Rpcmon.exe进程访问网络，允许访问，系统正常运作3-5分钟后死机，拒绝访问网络，主机CPU占用马上到100%，无法进行其他操作，10分钟后也死掉了。。     进入安全模式，该进程一样存在，无法结束，system32目录下找到该文件，也无法删除，查看注册表启动项，并无此进程。     请教各位大虾，如何手工清楚掉这个病毒。小女子在此谢过各位了！！很急~`` ...........................

Bot后门Rpcmon.exe的查杀：

一、结束病毒进程Rpcmon.exe。
二、删除病毒文件%system%下的病毒文件Rpcmon.exe。（安装在C盘的XP系统，病毒文件在C:\windows\system32\文件夹中。）
三清理注册表：

1、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Rpcmon
2、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
删除：Rpcmon
3、展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
删除：Rpcmon

进程rpcmon删除不了（系统提示：禁止“拒绝访问“
再在注册表中照你说的那几个值，根本就没有，可是，我的机子情况和东方网管的一样。。。
还有，我把网络断掉，那个rpcmon进程就只占用1的cpu了，只要一连网，就变成99

如果不结束病毒的进程，也可以先修改或删除掉病毒的服务：
首先，找到病毒服务“Remote Procedure Call (RPC) Monitoring”，把“启动类型”改为“已禁用”（或者直接删除病毒服务项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]）
然后，重新启动计算机
重新启动后就直接删除病毒文件%Windows%\System32\Rpcmon.exe
最后，删除病毒建立的服务项信息：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon]