系统无法登陆我家XP登陆时提示无法加载
推荐你看看这篇文章,可能有些帮助!
天极网病毒(无法加载用户登录界面DLL rpcfp。dll)的方法
free 发表于 2006-9-5 9:43:00
我的Windows XP SP2操作系统的欢迎屏幕和快速用户切换最近莫名其妙地被关闭了,每次开机都要像进入Windows 2000系统一样输入用户名和密码。 打开控制面板的用户帐户,试图更改用户登录和注销的方式,却被提示:一个最近的安装程序已停止欢迎屏幕和快速用户切换,你必须卸载该程序以恢复这些功能,下列文件名可帮助你识别该程序所做的修改:rpcfap。 dll 。
经检查,并不是由NetWare服务所导致的。同时,IE的收藏夹内也...全部
推荐你看看这篇文章,可能有些帮助!
天极网病毒(无法加载用户登录界面DLL rpcfp。dll)的方法
free 发表于 2006-9-5 9:43:00
我的Windows XP SP2操作系统的欢迎屏幕和快速用户切换最近莫名其妙地被关闭了,每次开机都要像进入Windows 2000系统一样输入用户名和密码。
打开控制面板的用户帐户,试图更改用户登录和注销的方式,却被提示:一个最近的安装程序已停止欢迎屏幕和快速用户切换,你必须卸载该程序以恢复这些功能,下列文件名可帮助你识别该程序所做的修改:rpcfap。
dll 。
经检查,并不是由NetWare服务所导致的。同时,IE的收藏夹内也被恶意地添加了很多链接。
上网搜索,在金山毒霸的病毒资料中得知是中了叫做 的木马病毒。
该病毒主要影响Win 9x/ME、Win 2000/NT、Win XP、Win 2003等操作系统,并有如下行为:
病毒运行后通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。
病毒主要通过捆绑软件方式进行传播。
1、下载/生成以下文件:
%Windir%\System32\magicap。dll
%Windir%\System32\ r
%Windir%\System32\ r
%Windir%\System32\taskmngr。
exe
%Windir%\System32\ f
%Windir%\System32\taskmngrtmp。exe
%Windir%\System32\d11host。
exe
%Windir%\System32\magicapf。log
%Windir%\System32\oleauto32。dll
%Windir%\System32\ntcoredll。
dll
%Windir%\System32\rpcfap。dll
%Windir%\System32\fileap。dll
%Windir%\System32\ r
%Windir%\System32\msieinslog。
dat
%Windir%\prfexp。dat
%Windir%\secupadf。dat
%Windir%\msimfinst。log
%Windir%\ntcoredlltmp。
dll
2、通过可用的网络资源下载以下文件:
http://bms。y****。com/plugin/ r 保存为: %Windir%\system32\ r
http://bms。
y****。com/plugin/taskmngr。exe 保存为: %Windir%\system3\taskmngr。exe
3、将%windir%\system32\spydll。
dll注入explorer进程
4、写入注册表项:
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host。
exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
GinaDLL="rpcfap。
dll"
根据网上的评论,对于该病毒,暂时还没有彻底清除的解决方案。综合了各种方法,我总结了以下步骤,可以解决欢迎屏幕和快速用户切换不能使用的问题:
方法1:
1、开机按F8键进入操作系统的安全模式,删除以下所有病毒写入的注册表项目(这些项目未必全部存在,对于存在的项目一定要彻底删除。
):
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
d11host="C:\\WINNT\\System32\\d11host。
exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
GinaDLL="rpcfap。
dll"
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved]
(默认)=fileap。
dll
[HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
(默认)=fileap。
dll
2、在注册表中搜索rpcfap。dll,并将所有项全部删除(搜索的时候,有的项里面的子值都是上面病毒生成的文件,所以,一定要仔细搜索,彻底删除。)。
3、在注册表中搜索fileap。
dll,并将所有项全部删除。
4、将IE收藏夹中所有被恶意添加的链接全部删除并清空Cookies和IE浏览记录。
经过上面的操作,重新启动系统后,就可以看到熟悉的登录画面了。
另外,对于正常的Windows XP系统,rpcfap。dll文件是不存在的,所以,有的人采用进入安全模式后删除该文件的方法,不过,最终连系统都进不去了,所以还是不要轻易尝试简单删除的办法。
方法2
第一步,先拷贝本方法内容到记事本,存到桌面上,一会备用,因为你上不了网了,呵呵。
2。 进入注册表先搜索删除下列相关键值(特别提示:不要输入扩展名能查得更准确一些):
magicap。
dll
r
r
taskmngr。exe
taskmngrtmp。exe
d11host。exe
magicapf。log
oleauto32。dll
ntcoredll。
dll
rpcfap。dll
fileap。dll
r
msieinslog。dat
prfexp。dat
secupadf。dat
msimfinst。log
ntcoredlltmp。
dll
spydll。dl
3。进入系统目录,删除相关文件:
%Windir%\System32\magicap。dll
%Windir%\System32\ r
%Windir%\System32\ r
%Windir%\System32\taskmngr。
exe
%Windir%\System32\ f
%Windir%\System32\taskmngrtmp。exe
%Windir%\System32\d11host。exe
%Windir%\System32\magicapf。
log
%Windir%\System32\oleauto32。dll
%Windir%\System32\ntcoredll。dll
%Windir%\System32\rpcfap。
dll
%Windir%\System32\fileap。dll
%Windir%\System32\ r
%Windir%\System32\msieinslog。dat
%Windir%\prfexp。
dat
%Windir%\secupadf。dat
%Windir%\msimfinst。log
%Windir%\ntcoredlltmp。dll
%Windir%\System32\spydll。
dl
注意,如果有些DLL还在运行中无法删除,请重新启动再次进入安全模式,再次进行上述操作,多重启几次,问题就解决了。收起