瑞星卡卡安全论坛

出现Windows文件保护时按取消系统就出现多种问题,例如任务栏消失,无法粘贴复制文件...系统濒临崩溃
上网查了下,跟[劳拉病毒]很相似,下载了RavXorala.exe查杀(安全模式),也没查到有劳拉病毒
现在用着瑞星2010查杀发现win32.ruirui.ae, win32.ruirui.ai win32.ruirui.ad win32.ruirui.ag等等
是不是win32.ruirui.*引起的?

应该是吧，请楼主扫描一个sreng的日志上来看看
sreng下载地址和说明：http://bbs.ikaka.com/showtopic-8442813.aspx

好的,扫描好了,谢谢您了~:kaka14:我刚刚重灌,还是一样
弹出Windows文件保护

附件: SREngLOG.log

是中了rpcss.dll病毒
　　rpcss.dll病毒会通过替换系统“rpcss.dll”文件来实现开机自启动。是一个专门窃取QQ网络游戏帐号的木马程序。同时，它还会窃取QQ网络游戏用户的密码保护资料。

　　中毒现象：

　　1、杀毒后系统不能上网。

　　2、杀毒后系统粘贴功能失效。

　　3、杀毒后系统任务栏上的部分信息不能正常显示。

　　4、杀毒后系统桌面程序“explorer.exe”启动非常慢，等好长时间才能显示出来桌面。
修复方法
　　由于流氓软件篡改的手法多样化，位置也很多，要解决这些问题，靠手工的办法已经很难实现。 　　最好是采用专业安全软件使用一键清除和修复。 　　
1、下载一个金山卫士系统修复工具，下载方法（百度里搜索“金山卫士系统修复工具”，点官方下载） 　　
2、安装后，点一键修复。 　　
3、重启计算机并使用杀毒软件进行全盘查杀病毒（该病毒为木马下载器下载到您计算机中的病毒，木马下载器还下载、安装了N多其它病毒到您的计算机系统中）。

********************************************************************
*    PLA'S Report For Your Problem [2.0.0]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010/7/18 - 16:21:53
* 报告分析作者：leo108
* 作者邮件地址：
* 作者其他信息：
* 报告正文开始：
********************************************************************



★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)

<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk><N>
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\326990.lnk ><N>

★ *********************************************** ★
用正常文件替换 C:\WINDOWS\system32\regsvr32.exe

我用瑞星杀毒删除win32.ruirui后重启就没弹出"Windows文件保护"了
但还是应该照你的方法彻底杀毒,谢谢你喔,大大

★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆

服务名【RpcSs】，对应文件【C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\rpcss.dll】
服务名【DcomLaunch】，对应文件【C:\WINDOWS\system32\svchost -k DcomLaunch-->C:\WINDOWS\system32\rpcss.dll】
★ *********************************************** ★
这如何关闭或删除??

别删那两个服务，建议使用金山急救箱扫描一遍以后再把瑞星升级到最新版本全盘查杀

不好意思，弄错了，这两个是系统关键服务，但是被病毒劫持了，不能删。
手工解决方案参考这篇http://bbs.windows7en.com/thread-86867-1-1.html

好的,我先用金山急救箱扫描

该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动，所以先看启动项，
一般病毒都会写服务项来实现开机的启动，首先先把以下两个服务项目禁止并删除文件。

9楼说这个是系统服务，不能禁止，这个是错误的，其实服务已经被替换了，实现的效果就是让木马启动。
而且看下面的截图可以看出这个程序也是依附系统进程svchost来实现自启动的。

使用Wsyscheck来查看svchost进程下有没有可疑的动态函数链接库，如果有的话请完全卸载。
以下是举的例子，一般的dll文件都是有文件厂商的，病毒木马就很少有，还有就是dll的文件名。

刚才找了些资料，感觉这个是变种，为了逃避杀软的查杀把驱动程序给去掉了。

至于那个开机启动项中的 C:\WINDOWS\system32\regsvr32.exe 请找到这个文件并上传到杀毒网来查看是不是正常文件。 http://www.virscan.org/

<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N>
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\326990.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N>

以上操作完成 更新瑞星杀毒软件 进行全盘扫描，也是担心病毒会联网下载一些其他的程序来执行。


恩，貌似LZ也是学JAVA的呢:kaka12:  其实偶也是:kaka14:

我用金山急救箱扫描后选择处理
重启后任务栏没反应,不能粘贴文件和不能还原系统等等
这需要重灌吗?

好复杂喔,现在整个windows乱+慢
等我re-format后
慢慢一步一步跟你说的走
弄了两天还是清除不了T-T


*Java我还一窍不通,刚想学学

这个病毒应该是感染型的，也感染rpcss.dll的。

<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N>
regsvr32.exe 这个文件没问题。其实这里是sreng没能扫描全，没扫描注册的病毒组件。完整的应该类似于 regsvr32.exe rpcss*.dll

那要如何解决呢?
格式化所有硬盘,可否?

那当然可以了

:kaka5: 不推荐格式化硬盘，LZ要是感觉手动查杀比较麻烦的话 还是建议重新安装下系统吧。安装完系统以后首先下载瑞星全盘杀毒。
记得重做完系统先别打开盘符之类的操作。:kaka6:

那啥，感觉这个病毒不是全盘感染的那种，真没必要全格式化。:kaka11:

最好不要格式化硬盘，建议楼主方便的话在另一台无毒的电脑上下载最新的瑞星全功能安全软件，然后用一个格式化后的U盘考过来，重装系统后再断网的情况下全盘杀毒:kaka1: ，不要打开其他盘的任何文件。

现在才发现中毒已1-2年了,难怪之前重新安装系统后
下载的.exe文件常常出现NSIS error这几天才变本加厉
结果昨天下午不耐烦就整盘格式化了
为什么不推荐格式化硬盘?:kaka7:

:kaka6: 楼主，一般来说全盘格式化只有一些极端情况才会使用的，比如说硬盘出现坏道需要低格，多种病毒互相打架等。一般来说只要重装以后问题就解决了，不需要格盘。只要你在重装之后不打开其他盘符就开始杀毒，问题不是很大。