瑞星卡卡安全论坛

由于以为解决了rpcss.dll病毒~~后来发现许多软件都打不开，可是在任务管理器里的进程里却可以发现打不开的软件却在运行着~~
今天我一大早重装了系统~~~弄了半天的补丁~~各软件安装~~~谁知中午用360扫描了下  病毒仍旧在~~~~

怎么办~~~在线等结果~~

共3各云查杀结果等待处理

【!文件篡改】文件被篡改
系统文件被篡改，此行为属于木马、病毒常用的入侵手段。
所在位置c:\windows/system32\rpcss.dll

【！风险程序】可疑程序伪装成360安全软件试图开机启动
程序试图将自身伪装成360安全软件，此行为是高度危险的行为，建议你立刻隔离。
所在位置d:\360\360se3\360SE.exe

【！禁止启动】建议禁止开机自动运行的程序
此程序会在开机时自动运行。过多的自启动程序会影响开机速度，建议禁止自启动运行。如果你需要自动运行，请加入
“信任程序列表”启动位置：c:documents and settings\all users\[开始]菜单\程序\启动\624437.ink
所在位置c:\windows/system32\rpcss.dll~95500

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: SREngLOG.log

求救~~急~~ rpcss.dll病毒~重装系统后发现还在~~~
由于以为解决了rpcss.dll病毒~~后来发现许多软件都打不开，可是在任务管理器里的进程里却可以发现打不开的软件却在运行着~~
今天我一大早重装了系统~~~弄了半天的补丁~~各软件安装~~~谁知中午用360扫描了下  病毒仍旧在~~~~

怎么办~~~在线等结果~~

共3各云查杀结果等待处理

【!文件篡改】文件被篡改
系统文件被篡改，此行为属于木马、病毒常用的入侵手段。
所在位置c:\windows/system32\rpcss.dll

【！风险程序】可疑程序伪装成360安全软件试图开机启动
程序试图将自身伪装成360安全软件，此行为是高度危险的行为，建议你立刻隔离。
所在位置d:\360\360se3\360SE.exe

【！禁止启动】建议禁止开机自动运行的程序
此程序会在开机时自动运行。过多的自启动程序会影响开机速度，建议禁止自启动运行。如果你需要自动运行，请加入
“信任程序列表”启动位置：c:documents and settings\all users\[开始]菜单\程序\启动\624437.ink
所在位置c:\windows/system32\rpcss.dll~95500

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; 360SE)

附件: SREngLOG.log

可以用unlocker或者IceSword强制干掉此文件

********************************************************************
*    PLA'S Report For Your Problem [1.1.43]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/2/26 - 17:04:21
* 报告分析作者：leo108
* 作者邮件地址：leo108@qq.com
* 作者其他信息：
* 报告正文开始：
********************************************************************

★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆

服务名【DcomLaunch】，对应文件【C:\WINDOWS\system32\svchost -k DcomLaunch-->C:\WINDOWS\system32\rpcss.dll】
服务名【HidServ】，对应文件【C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\hidserv.dll】
服务名【RpcSs】，对应文件【C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\rpcss.dll】
★ *********************************************** ★


★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)

C:\WINDOWS\system32\svchost -k DcomLaunch-->C:\WINDOWS\system32\rpcss.dll
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\hidserv.dll
C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\rpcss.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~0172ba.~~~
★ *********************************************** ★


★ 告知用户的其他事项： ★

建议楼主删除d:\360\360se3的360浏览器，并且删除该文件夹。然后重装
★ *********************************************** ★

本版置顶帖有winodowsxpsp3的rpcss.dll及替换工具，下载使用工具替换。
手动删除：c:\documents and settings\all users\「开始」菜单\程序\启动\624437.lnk
c:\documents and settings\all users\「开始」菜单\程序\启动\629734.lnk
清理系统临时文件。

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载，

附件: 新助手.rar (2010-2-26 17:05:29, 220.65 K)
该附件被下载次数 308

将附件解压至桌面，启动里面的程序后，点击“开始处理”，然后耐心等待，程序提示重启电脑时，立即重启。

记住不要让任何安全软件影响本程序的运行。

本程序运行后将向系统盘根目录创建123文件夹，并在那文件夹内创建运行日志LogAction.log文件，可以查看运行情况。

愿意的话，请事后将123文件夹内的Backup文件夹压缩发到可疑文件交流区去。

进系统后下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

你在哪见到没可疑的了？？

楼主的重装后还 异常，我怀疑是局域网其他电脑影响，或者其他盘存在感染的情况

没法准确判断了，需要楼主自己观察了

抱歉，刚才是我的不对

请看一下「开始」菜单\程序\启动\624437.lnk 的属性，看“目标” C:\WINDOWS\system32\regsvr32.exe后面的内容是什么：

********************************************************************
*    PLA'S Report For Your Problem [1.1.43]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010-2-26 - 17:04:28
* 报告分析作者：byxxdrls
* 作者邮件地址：
* 作者其他信息：
* 报告正文开始：
********************************************************************

★ 『建议您【替换】的文件』 ★
  ☆ HELP ☆

c:\windows\system32\rpcss.dll
★ *********************************************** ★


★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)

<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\624437.lnk
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\629734.lnk
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~0172ba.~~~
★ *********************************************** ★

该用户帖子内容已被屏蔽

我用了4楼 的方法~   
重新开机发现 不仅
【!文件篡改】文件被篡改
系统文件被篡改，此行为属于木马、病毒常用的入侵手段。
所在位置c:\windows/system32\rpcss.dll
还有许多D:\QQ里的东西给改掉了  共11文件

我现在把QQ删除了

请看一下「开始」菜单\程序\启动\中随机命名的快捷方式的属性，看“目标” C:\WINDOWS\system32\regsvr32.exe后面的内容是什么

看了楼主的描述

建议：

1、先完全卸载360安全卫士、360安全浏览器等

因为楼主已经说过

【！风险程序】可疑程序伪装成360安全软件试图开机启动
程序试图将自身伪装成360安全软件，此行为是高度危险的行为，建议你立刻隔离。
所在位置d:\360\360se3\360SE.exe

2、建议进入安全模式用4楼的办法做一次

3、楼主提到是重新做了系统，仍然存在病毒，那么病毒可能不止在C盘，也可能在其他分区，建议下载最新的瑞星安装包在安全模式下进行查杀

rpcss.dll替换的问题看这帖
http://bbs.ikaka.com/showtopic-8417665.aspx#8926757

4楼的方法删了不该删的
再扫个日志看看吧.

我 替换了 许多次c:\windows/system32\rpcss.dll
只要重新开机就会又存在

我想病毒的主要根源不在C盘  所以我把D盘的东西都删了  包括360的各种软件~~
最后我发现360安全卫士 被送到回收站后  无法清空回收站  显示 无法删除文件夹datadirectory：目录不是空的
我想这就是病毒的根源所在吧

请问 我现在是要再一次重装系统好  还是把着病毒从回收站还原出来  用卡卡来粉碎掉呢？

您可以百度搜索下安博士，然后在线全盘杀毒，杀毒时首先进行环境设置——关闭SHELL后查杀、解压后治疗，再看情况

如果想直接重做系统，先通过WIN PE光盘版（GHOST安装盘都有的）将硬盘内重要资料转移，格式化所有分区后安装系统

按照六楼的做试试看

还有你这个路径有问题c:\windows/system32\rpcss.dll

应该是c:\windows\system32\rpcss.dll

貌似是感染型啊

它是动态链接库文件,可能被病毒感染了
建议你手动杀毒,进安全模式.
懂DOS的话进纯DOS或在CMD里用DOS命令杀.
教你一个杀毒的小方法,还是满实用的_找到病毒所在的目录,先复制一下那个病毒的名称,删除病毒,再迅速在病毒所在目录下创建一个新建文件夹,用病毒的名称命名它,这样也许能把病毒挤掉.它就不能自动复制了.明白吗?
这方法适用于杀单个的还没传染的病毒,再厉害点的就不行了.
学学DOS吧,用DOS命令很好杀的

先设置瑞星杀毒软件监控rpcss.dll文件的修改

然后运行我那附件，重启电脑，看瑞星提示什么

还有尽量关闭一切非微软的软件的开机自启动，应该是其他盘被感染的文件开机又运行导致反复修改了。

这个rpcss.dll文件问题，楼主如果按照上边各位的方法手动替换有难度，建议使用金山系统急救箱3.0升级到最新自动解决。