关于RPCS.dll

.Ycr267 我的瑞星杀出了一个名为RPCS.dll的病毒，经我网上查询的知以下
该病毒为Windows平台下针对于ＱＱ即时聊天软件的盗号木马，病毒运行后将自身复制为伪系统正常文件，并伪装成伪系统正常服务，使用户难以察觉。
病毒运行时通过调用IE程序方式进行监视记录并发送ＱＱ帐号密码信息给病毒作者。
病毒主要通过网络欺骗方式进行传播。
1、病毒运行时将自制复制为以下伪系统程序:
%Windir%\system32\RPCS.exe
2、添加如下服务使病毒开机后自动运行:
服务名: RPCS
显示名称:Remote Procedure Call System(RPCS)
显示描述:管理并控制RPC服务数据库.
路径:%Windir%\system32\RPCS.exe
启动方式:自动
3、服务启动时，释放出＂%Windir%\system32\RPCS.dll＂文件,然后运行系统ie进程，并将释放的文件注入ie进程中。
4、注入后的dll在后台监视记录QQ聊天软件的帐号密码信息,成功获取后将信息发送至以下网站:
qqo119***.3322.org
后我把服务禁止掉并且删除%Windir%\system32\RPCS.exe，删除后并无病毒出现也无异样，想知道这样处理可以吗?再者每次开机或者重起进入电脑后会跳出KB8964235.log无法加载，不知为何，还请懂病毒者告之

RPCS.dll的处理方法大概就是这样吧，注册表中也搜索一下；
KB8964235.log的问题：在启动项中取消此项目，并在注册表中搜索AppInit_DLLs，在其中删除KB8964235.log数值

KB8964235.log的问题：在启动项中取消此项目，并在注册表中搜索AppInit_DLLs，在其中删除KB8964235.log数值 dngz.net您的电脑医生
但是启动里并没有这个，而且注册表里也找不到AppInit_DLLs，我的启动很干净的，只有2个，1个是瑞星一个是输入法

能否扫描一个sreng的报告看看?

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
　 　 ＜ctfmon.exe＞＜C:\WINDOWS\system32\ctfmon.exe＞　　[Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
　 　 ＜load＞＜＞　　[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
　 　 ＜RavTask＞＜＂C:\Program Files\Rising\Rav\RavTask.exe＂ -system＞　　[Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
　 　 ＜shell＞＜Explorer.exe＞　　[Microsoft Corporation]
　 　 ＜Userinit＞＜C:\WINDOWS\system32\userinit.exe,＞　　[Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
　 　 ＜AppInit_DLLs＞＜＞　　[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
　 　 ＜UIHost＞＜logonui.exe＞　　[Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] .
　 　 ＜{32CD708B-60A7-4C00-9377-D73EAA495F0F}＞＜C:\WINDOWS\system32\RavExt.dll＞　　[Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
　 　 ＜WinlogonNotify: AtiExtEvent＞＜Ati2evxx.dll＞　　[ATI Technologies Inc.]
[HKEY_CURRENT_USER\Control Panel\Desktop]
　 　 ＜SCRNSAVE.EXE＞＜C:\WINDOWS\竧F2EC~1.SCR＞　　[]
==================================
启动文件夹
服务
[Ati HotKey Poller / Ati HotKey Poller]
　　＜C:\WINDOWS\system32\Ati2evxx.exe＞＜ATI Technologies Inc.＞
[ATI Smart / ATI Smart]
　　＜C:\WINDOWS\system32\ati2sgag.exe＞＜＞
[InstallDriver Table Manager / IDriverT]
　　＜＂C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe＂＞＜Macrovision Corporation＞
[P4P Service / P4P Service]
　　＜C:\Program Files\Common Files\Sogou PXP\p2psvr.exe＞＜Sohu.com Inc.＞
[Remote Procedure Call System(RPCS) / RPCS]
　　＜C:\WINDOWS\system32\RPCS.exe＞＜N/A＞
[Rising Process Communication Center / RsCCenter]
　　＜＂C:\Program Files\Rising\Rav\CCenter.exe＂＞＜Beijing Rising Technology Co., Ltd.＞

.

[RsRavMon Service / RsRavMon]
　　＜＂C:\Program Files\Rising\Rav\Ravmond.exe＂＞＜Beijing Rising Technology Co., Ltd.＞
[StarWind iSCSI Service / StarWindService]
　　＜C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe＞＜Rocket Division Software＞

KB8964235.log这个东东最近很流行啊。把服务关掉，只留瑞星

。。。。。。。。。有些看的懂，有些看不懂

.....有谁看的出个究竟吗?

注册表：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]中删除
　 　 ＜{32CD708B-60A7-4C00-9377-D73EAA495F0F}＞＜C:\WINDOWS\system32\RavExt.dll＞　　[Beijing Rising Technology Co., Ltd.]并删除文件（应该不是好东西，可以再细查一下）
[HKEY_CURRENT_USER\Control Panel\Desktop]中删除
　 　 ＜SCRNSAVE.EXE＞＜C:\WINDOWS\竧F2EC~1.SCR＞　　[]（搜索并删除文件）；
文件夹：
[Remote Procedure Call System(RPCS) / RPCS]
　　＜C:\WINDOWS\system32\RPCS.exe＞＜N/A＞取消启动，并删除文件；
日志没帖完，但主要的都有了