今天碰到一个客户端无法上网的故障。过去一看,“网上邻居”的“本地连接”图标不见了。先狂杀出一批***病毒,然后处理故障。根据经验觉得肯定是某些服务没启动的原因。打开“服务”,发现在“扩展”里面一个项也没有,在“标准”里面倒是有服务。点开“标准”,发现plug and play服务属性里面的启动和停止都是灰色不可选,而RPC服务项却没有,DCOM服务也不见,从别的好的机器上将与这两个服务相关的服务项倒出来,再倒入到故障机上(幸好U盘好可以用),就看到RPC和Dcom项了。可是它们只是“启动”按钮可用,就按“启动”吧,可运行一会中断了,出现错误对话:
错误1083 配置成在该可执行程序中运行的这个服务不能执行该服务。
通过查资料后发现,是由于svchost调用的进程实例定义被恶意改正造成的,这些项全在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost 键值下。这个好说将此注册表键值倒过来就是。可倒过来后启动服务时有出现了错误:
错误126:找不到指定的模块
又查原因说相关服务的键值参数被恶意改正造成,也就是说系统找不到文件所在的正确路径,这***还真不嫌麻烦!又把相关键值该过来。为了保险起见,同时也将服务相关程序rpcss.dll和svchost.exe拷贝过来,这才发现“粘贴”选项也变灰不可用,这不怕,用命令行写。拷贝rpcss.dll成功完成,但svchost.exe没有成功,说该文件正被使用。弄完重启,熟悉的界面终于出来了。
总结:这次病毒不仅改写注册表键值,同时也将Rpcss.dll文件改写了,以后杀毒要引起注意。