史国祥 - 2005-10-19 9:42:00
winnt\temp目录下有一个h.dll,这个文件用瑞星最新版查杀,没有报告是病毒。
在安全模式下删除该文件,回到正常模式后,又重新生成。在注册表中找不到该文件的启动项。
计算机在启动是经常有蓝屏现象,看事件管理器中有报告服务DER005、XRW005服务由于找不到文件而不能启动,其中服务名每次变动。是否与h.dll有关不得而知。
进程管理器中观察无不明进程。
求各位大侠帮助!
baohe - 2005-10-19 10:03:00
【回复“史国祥”的帖子】
用HijackThis1.99.1扫日志贴上来
史国祥 - 2005-10-19 11:04:00
谢谢!该问题已经解决。应该是一个新的灰鸽子变种,希望瑞星工程师注意,因为在安全模式下用瑞星扫描没有发现。
在system32目录下有3个文件:nlsrv.dll, nlsrv.exe, nlsrv_hook.dll,由于*_hook.dll整个特征性文件名,因此该病毒可能是灰鸽子变种。
nlsrv.exe通过系统服务方式启动,具体表现为:在服务管理器中出现一个名为NT LM_Security_Support_Provider的服务,和正常的系统服务NT LM Security Support Provider相比,仅仅多了几个下划线,而且它的中文提示信息“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制”竟然是一模一样的!
nlsrv启动后,会在winnt\temp 和 C:\Documents and Settings\Administrator\Local Settings\Temp目录下分别生成一个h.dll的文件。
asami - 2005-11-5 16:10:00
LZ才发现我也中了这个病毒,请问这个病毒变种会不会更改我的注册表项?怕删了文件也只是治标不治本ToT
可怜稻草人 - 2005-11-5 16:12:00
已经过时了
© 2000 - 2026 Rising Corp. Ltd.