这篇博客详细介绍了如何处理Win32.Troj.ADLoad.an木马病毒导致的DLLrpcfap.dll问题。病毒通过下载广告插件并篡改注册表,影响欢迎屏幕和快速用户切换功能。解决方案包括进入安全模式删除病毒注册表项和文件,以及清理恶意添加的IE收藏夹链接。提醒用户不要轻易删除系统不存在的dll文件,以免造成系统不稳定。
DLL
rpcfap.dll请与系统管理员联系,以替换DLl文件或还原原DLL
天极网病毒(无法加载用户登录界面DLL
rpcfp.dll)的方法
我的Windows XP
SP2操作系统的欢迎屏幕和快速用户切换最近莫名其妙地被关闭了,每次开机都要像进入Windows
2000系统一样输入用户名和密码。打开控制面板的用户帐户,试图更改用户登录和注销的方式,却被提示:一个最近的安装程序已停止欢迎屏幕和快速用户切换,你必须卸载该程序以恢复这些功能,下列文件名可帮助你识别该程序所做的修改:rpcfap.dll
。
经检查,并不是由NetWare服务所导致的。同时,IE的收藏夹内也被恶意地添加了很多链接。
上网搜索,在金山毒霸的病毒资料中得知是中了叫做Win32.Troj.ADLoad.an的木马病毒。该病毒主要影响Win
9x/ME、Win 2000/NT、Win XP、Win
2003等操作系统,并有如下行为:
病毒运行后通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。
1、下载/生成以下文件:
%Windir%\System32\magicap.dll
%Windir%\System32\magicap.ver
%Windir%\System32\magicaptmp.ver
%Windir%\System32\taskmngr.exe
%Windir%\System32\autorun.inf
%Windir%\System32\taskmngrtmp.exe
%Windir%\System32\d11host.exe
%Windir%\System32\magicapf.log
%Windir%\System32\oleauto32.dll
%Windir%\System32\ntcoredll.dll
%Windir%\System32\rpcfap.dll
%Windir%\System32\fileap.dll
%Windir%\System32\fileap.ver
%Windir%\System32\msieinslog.dat
%Windir%\prfexp.dat
%Windir%\secupadf.dat
%Windir%\msimfinst.log
%Windir%\ntcoredlltmp.dll
2、通过可用的网络资源下载以下文件:
3、将%windir%\system32\spydll.dll注入explorer进程
4、写入注册表项:
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell
Extensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
GinaDLL="rpcfap.dll"
根据网上的评论,对于该病毒,暂时还没有彻底清除的解决方案。综合了各种方法,我总结了以下步骤,可以解决欢迎屏幕和快速用户切换不能使用的问题:
方法1:
1、开机按F8键进入操作系统的安全模式,删除以下所有病毒写入的注册表项目(这些项目未必全部存在,对于存在的项目一定要彻底删除。):
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell
Extensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon]
GinaDLL="rpcfap.dll"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved]
(默认)=fileap.dll
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
(默认)=fileap.dll
2、在注册表中搜索rpcfap.dll,并将所有项全部删除(搜索的时候,有的项里面的子值都是上面病毒生成的文件,所以,一定要仔细搜索,彻底删除。)。
3、在注册表中搜索fileap.dll,并将所有项全部删除。
4、将IE收藏夹中所有被恶意添加的链接全部删除并清空Cookies和IE浏览记录。
经过上面的操作,重新启动系统后,就可以看到熟悉的登录画面了。
另外,对于正常的Windows
XP系统,rpcfap.dll文件是不存在的,所以,有的人采用进入安全模式后删除该文件的方法,不过,最终连系统都进不去了,所以还是不要轻易尝试简单删除的办法。
方法2
第一步,先拷贝本方法内容到记事本,存到桌面上,一会备用,因为你上不了网了,呵呵。
2.
进入注册表先搜索删除下列相关键值(特别提示:不要输入扩展名能查得更准确一些):
magicap.dll
magicap.ver
magicaptmp.ver
taskmngr.exe
taskmngrtmp.exe
d11host.exe
magicapf.log
oleauto32.dll
ntcoredll.dll
rpcfap.dll
fileap.dll
fileap.ver
msieinslog.dat
prfexp.dat
secupadf.dat
msimfinst.log
ntcoredlltmp.dll
spydll.dl
3.进入系统目录,删除相关文件:
%Windir%\System32\magicap.dll
%Windir%\System32\magicap.ver
%Windir%\System32\magicaptmp.ver
%Windir%\System32\taskmngr.exe
%Windir%\System32\autorun.inf
%Windir%\System32\taskmngrtmp.exe
%Windir%\System32\d11host.exe
%Windir%\System32\magicapf.log
%Windir%\System32\oleauto32.dll
%Windir%\System32\ntcoredll.dll
%Windir%\System32\rpcfap.dll
%Windir%\System32\fileap.dll
%Windir%\System32\fileap.ver
%Windir%\System32\msieinslog.dat
%Windir%\prfexp.dat
%Windir%\secupadf.dat
%Windir%\msimfinst.log
%Windir%\ntcoredlltmp.dll
%Windir%\System32\spydll.dl
注意,如果有些DLL还在运行中无法删除,请重新启动再次进入安全模式,再次进行上述操作,多重启几次,问题就解决了
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
