1   1  /  1  页   跳转

求助:winnt\temp目录下有一个h.dll

求助:winnt\temp目录下有一个h.dll

winnt\temp目录下有一个h.dll,这个文件用瑞星最新版查杀,没有报告是病毒。

在安全模式下删除该文件,回到正常模式后,又重新生成。在注册表中找不到该文件的启动项。

计算机在启动是经常有蓝屏现象,看事件管理器中有报告服务DER005、XRW005服务由于找不到文件而不能启动,其中服务名每次变动。是否与h.dll有关不得而知。

进程管理器中观察无不明进程。

求各位大侠帮助!
最后编辑2005-11-05 16:12:32
分享到:
gototop
 

谢谢!该问题已经解决。应该是一个新的灰鸽子变种,希望瑞星工程师注意,因为在安全模式下用瑞星扫描没有发现。

在system32目录下有3个文件:nlsrv.dll, nlsrv.exe, nlsrv_hook.dll,由于*_hook.dll整个特征性文件名,因此该病毒可能是灰鸽子变种。

nlsrv.exe通过系统服务方式启动,具体表现为:在服务管理器中出现一个名为NT LM_Security_Support_Provider的服务,和正常的系统服务NT LM Security Support Provider相比,仅仅多了几个下划线,而且它的中文提示信息“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制”竟然是一模一样的!

nlsrv启动后,会在winnt\temp 和 C:\Documents and Settings\Administrator\Local Settings\Temp目录下分别生成一个h.dll的文件。

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT