- 听众
- 收听
- 积分
- 2999
- 主题
- 回帖
- 0
- 精华
注册时间2006-7-29
最后登录1970-1-1
该用户从未签到
|
(作者:孤独更可靠)
文件名称:winhld32.dll
文件大小:27,136 bytes
AV命名:卡巴、瑞星等未知(暂不能识别)Trojan.Nebuler 赛门铁克
文件MD5:66AE6D86463AFB42D9730C9B82832497
病毒类型:木马
主要行为:
1、由EXE载体释放一个文件:
C:\Windows\System32\winhld32.dll 27,136 byte
随后这个载体自我删除
2、添加启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhld32]
Asynchronous = 0x00000001
DllName = "winhld32.dll"
Impersonate = 0x00000000
Startup = "EvtStartup"
Shutdown = "EvtShutdown"
3、winhld32.dll则注入系统核心进程:winlogon.exe。
4、病毒启动时会先检测是否存在互斥体“m3b5rt102”如果存在则不会选择注入而退出。
5、尝试连接网络:here4s***ch.biz,可能下载其他木马。
解决方法:
1、下载PowerRmv,可以到这里下载:
http://www.kingzoo.com/tools/孤独更可靠/PowerRmv.rar
2、断开网络连接,打开PowerRmv。如下图:
按杀灭。
3、打开注册表,删除项:winhld32
切记不要删除错了!
如图:
|
|
IP卡
狗仔卡
发表于 2008-5-27 09:53:20
提升卡
置顶卡
喧嚣卡
变色卡
抢沙发
显身卡