近期病毒通报

内乡网监

最近网络中心发现部分用户电脑感染木马病毒，这些病毒不能被目前的常规防病毒软件所识别。现公布症状如下：
0 Y( V5 Z; G2 i* i% U2 P' f　　任务管理器中可以看到 有 Rpcd.exe 或 RpcS.exe  的进程在运行，并且以  SYSTEM 帐号启动。或者是 SYSTEM 帐号启动 的 IEXPLORE.EXE 进程。

7 N5 K" r+ `  Y3 M: U$ \　　在 系统服务 里面的 显示名称：Remote Procedure Call System(RPCS)，伪装成正常系统服务。或者显示 Windows Createddos ，伪装成正常系统服务。

　　病毒在运行时后台调用IE程序进行连接病毒作者控制的服务器获取要攻击的IP列表,并接受控制指令对第三方IP地址发送UDP报文攻击.该病毒进程会占用大量的CPU导致系统运行缓慢导致机器无法正常使用，同时大量的UDP报文会用尽本机网卡的带宽，导致本机基本不能上网，同时也影响到整个网络的出口带宽，严重者导致整个网络的用户无法上网。

　　另外对于感染病毒的主机上，发现多种其它病毒和木马（有盗取QQ和各种网游帐号密码的功能），怀疑可能兼有下载盗号病毒和木马的功能，同时能关闭本机的防火墙和杀毒软件的功能，危害极大。

, e, M- m: @+ Y; _/ R  \
　　病毒可执行文件路径 在
8 E1 m+ h1 d9 A' s\WINDOWS\system32\RpcS.exe 和 \WINDOWS\system32\RpcS.dll 或
\WINDOWS\system32\Rpcd.exe 和 \WINDOWS\system32\Rpcd.dll 或
& O+ O8 v, C* S\WINDOWS\system32\ipci.exe

　　手动清除办法：
1. 在任务管理器里终止  Rpcd.exe 或  RpcS.exe  或以  SYSTEM 帐号启动 的 IEXPLORE.EXE 进程。可能任务管理器无法关闭进程，需要特殊的软件进行关闭。
# ~, _, i$ I9 T& B2 q
! p5 t+ j) i' m+ J/ {2.在系统服务里面 禁用 Remote Procedure Call System(RPCS) 此系统服务(也许名称是 Windows Createddos )。
! k+ T- H2 n$ ~9 A3 p
3.删除
* `8 }5 T' z+ X/ O. ^4 S\WINDOWS\system32\RpcS.exe
4 D5 U( S; l2 j* K; _\WINDOWS\system32\RpcS.dll
0 l3 T( A2 t8 s. G( g+ n8 D或者
\WINDOWS\system32\Rpcd.exe
2 \3 u! Z5 s+ @1 N\WINDOWS\system32\Rpcd.dll
* N) P) ]* W. \或者
8 _% [, B: N( P\WINDOWS\system32\ipci.exe
  p1 q2 W# l8 y- L; B1 R2 G
- ?) I" l0 V0 F# ^, b7 @0 P: e若手动无法删除，目前未发现各大杀毒软件有专杀工具，只能重新安装系统。
; w- T) Y9 \2 ~/ L4 a3 R
　　提醒：
   1：不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生可疑文件和程序，如邮件中的陌生附件等。
# F# ?* \- ]# p7 P! ?, E   2：慎用BT，天网Maze等P2P软件下载，由于种子发布的不确定性,很多程序或者影音文件可能被挂上木马以后在网上发布. 如果您下载运行了此类文件,就很可能被植入木马,导致电脑内敏感资料的泄漏.
! I4 P* @. U" B: F) {3 C   3：避免到非官方网站下载程序安装。

边缘

好东西顶一下

方寸魅力

网毒无处不在，防不胜防。烦！

方寸魅力

网毒无处不在，防不胜防。烦！

方寸魅力

网毒无处不在，防不胜防。烦！