Run a DLL as an App是什么??

2024-11-22 05:37:07
推荐回答(2个)
回答1:

3721中的插件,Run a DLL as an App刚出现的时候,还没被定义为病毒软件,但是现在已经完全被定义为恶意病毒软件。
来自:http://www.kesin.cn
木马:Run a DLL as an App
木马名称:3721潜伏者
执行文件大小:WIN9X下:24KB  2000/XP下:31/32KB
特征:感染系统后自动与3721网络实名系统的Cnsmin.dll关联,并在WIN9X系统的WINDOWS目录下生成不规则名称的.EXE文件,2000和XP下则在X:\WINDOWS\SYSTEM32下生成。
特征:
1、在设备驱动层加了保护,而且是boot时立即启动,即使在安全模式时也会启动。这个设备的名字叫做cnsminkp,驱动程序位于windows\system32\drivers\cnsminkp.sys。
2、cnsminkp.sys 一旦加载,无法用命令方式卸载这个驱动程,即 net stop cnsminkp 也是无法停止这个驱动的。
3、这个驱动不停地检测cnsminkp.sys 是否存在,cnsmin.dll是否存在,如果不存在,立即会重建这两个文件,并且不停检测service 和software 下面的注册表,确保cnsminkp这个服务的参数保持和它设置的一致,如果被改动,立即会恢复成原来的样子。另外,还确保在注册表run子键下始终存在 cnsmin.dll,以达到开机立即运行的目的。
4、这种循环的方式,一直存在内存和硬盘上驻留cnsminkp.sys 和cnsmin.dll,使系统性能迅速下降。
解决办法:
1)首先卸载网络实名功能,
2)WIN9X/XP用户运行msconfig命,打开启动菜单,找到木马的启动项
3)重启电脑,双系统用户请还是启动刚才运行的系统,否则系统之间会交叉感染。WIN9X用户到WINDOWS目录下查找大小为24KB和31/32KB的.exe可执行文件,如果该文件符合图中的几个的特征,即文件版本为5.1.2600.0,描述为:Run a DLL as an App这两个待征,即为木马服务器端执行文件,把它shift+Del删掉;2000和XP用户则应到windows\system32下查找,特征相同。
4)双系统用户在当前操作系统下到另一系统的分区下的相应文件夹下删除有上述待征的木马程序,注意另一系统下木马程序文件不止一个,请逐个找出删除,然后重启电脑到该操作系统下按同样方法从上到下重新进行删除。
5)到我的文档下查找有关文件,会发现有一个或以上的文件是在感染木马时运行过的文档,图片,或者别的,请不要点击它们,而是关掉按WEB页查看的功能,然后
把这些文件删除掉,如果分不清楚究竟是哪些文件,请按shift+Del删掉所有老文件以外的所有可能的新文件,图片,或者文档,因为它们都是伪装的(非常高明,一点都看不出来的)请删掉它们,有的是你的网友或朋友传过来的MM图片或者别的图片,也直接删除。
6)更改你所有用过的密码,系统、QQ、EMAIL及网上所有用到的登陆密码,无论是以前用的还是现在用的,因为木马的一个显著特点就是查看所有历史内存驻留密码(其实是在硬盘上存着的),以及当前的键盘操作。等各大杀毒防黑软件升级后,大家可用这些软件清除木马,目前还没有有效的软件能够清除该木马。

回答2:

这是系统程序,作用是加载 DLL(Dynamic Link Library,动态链接库)模块并作为一个程序实例(相当于进程)运行,这样其他的程序就可以用到 DLL 模块提供的功能。Run a dll as an app 的进程名是 rundll32.exe。
你一定是安装了"金山网镖",允许它访问网络吧。
在开始-运行-输入msconfig,找到相关的启动项删除就可以了。