谢谢!该问题已经解决。应该是一个新的灰鸽子变种,希望瑞星工程师注意,因为在安全模式下用瑞星扫描没有发现。
在system32目录下有3个文件:nlsrv.dll, nlsrv.exe, nlsrv_hook.dll,由于*_hook.dll整个特征性文件名,因此该病毒可能是灰鸽子变种。
nlsrv.exe通过系统服务方式启动,具体表现为:在服务管理器中出现一个名为NT LM_Security_Support_Provider的服务,和正常的系统服务NT LM Security Support Provider相比,仅仅多了几个下划线,而且它的中文提示信息“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制”竟然是一模一样的!
nlsrv启动后,会在winnt\temp 和 C:\Documents and Settings\Administrator\Local Settings\Temp目录下分别生成一个h.dll的文件。
