關于nttstat.exe的解決辦法
更新時間:2007年05月18日 00:00:00 作者:
File size: 57108 bytes
MD5: 9207fdee2f25a834d4e7151475fc7f45
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505
病毒名稱:Trojan-Downloader.Win32.QQHelper.vn <Kaspersky命名>
運行后病毒樣本,自動復制副本到%SYSTEMroot%及%WINDIR%目錄下
又是一個利用IFEO劫持的病毒.
如圖一:
%WINDIR%\d6.exe釋放病毒如下:
%WINDIR%\ft001.exe釋放病毒如下:
附sreng日志:
驅(qū)動程序
==================================
瀏覽器加載項
==================================
正在運行的進程
解決方法:
1.開始---運行---regedit---依次展開:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
刪除:
<Explorer.exe>
2.運行ICESWORD---設置---禁止進線程創(chuàng)建---中止病毒進程
3.使用ICESWORD---設置---禁止進線程創(chuàng)建---強制卸載被插入進程Explorer.EXE<如圖二>及
4.運行SRENG---啟動項目---服務---驅(qū)動程序---刪除服務
5.關閉所有瀏覽窗口以及一些不必要的程序
運行SREng2,使用:系統(tǒng)修復--瀏覽器加載項--選中以下的項刪除
MD5: 9207fdee2f25a834d4e7151475fc7f45
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505
病毒名稱:Trojan-Downloader.Win32.QQHelper.vn <Kaspersky命名>
運行后病毒樣本,自動復制副本到%SYSTEMroot%及%WINDIR%目錄下
Code:
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用戶名\Application Data\Cuckoo\Host.dat
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用戶名\Application Data\Cuckoo\Host.dat
又是一個利用IFEO劫持的病毒.
Code:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
<Explorer.exe><%SYSTEMroot%\nttstat.exe>
<Explorer.exe><%SYSTEMroot%\nttstat.exe>
如圖一:
%WINDIR%\d6.exe釋放病毒如下:
Code:
%Program Files%\Common Files\CPUSH\Uninst.exe
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\nsa1A.tmp
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\nsa1A.tmp
%WINDIR%\ft001.exe釋放病毒如下:
Code:
%SYSTEMroot%\drivers\gpkcsw.sys
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1d.tmp
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用戶名\Local Settings\Temp\tmp1d.tmp
附sreng日志:
驅(qū)動程序
Code:
[gpkcsw / gpkcsw][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
==================================
瀏覽器加載項
Code:
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
==================================
正在運行的進程
Code:
[PID: 432][C:\windows\Explorer.EXE]
[C:\windows\KB9269O4.log] [N/A, ]
[PID: 432][C:\windows\nttstat.exe] [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe]
[PID: 1076][C:\windows\system32\RUNDLL32.exe]
[C:\windows\system32\hydlvr.dll]
[C:\windows\KB9269O4.log] [N/A, ]
[PID: 432][C:\windows\nttstat.exe] [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe]
[PID: 1076][C:\windows\system32\RUNDLL32.exe]
[C:\windows\system32\hydlvr.dll]
解決方法:
1.開始---運行---regedit---依次展開:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
刪除:
<Explorer.exe>
2.運行ICESWORD---設置---禁止進線程創(chuàng)建---中止病毒進程
Code:
%WINDIR%\d6.exe
3.使用ICESWORD---設置---禁止進線程創(chuàng)建---強制卸載被插入進程Explorer.EXE<如圖二>及
Code:
RUNDLL32.exe
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll
4.運行SRENG---啟動項目---服務---驅(qū)動程序---刪除服務
Code:
[gpkcsw / gpkcsw][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
5.關閉所有瀏覽窗口以及一些不必要的程序
運行SREng2,使用:系統(tǒng)修復--瀏覽器加載項--選中以下的項刪除
Code:
C:\Program Files\Common Files\CPUSH\cpush0.dll
6.使用ICESWORD---文件---刪除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\刪除文件夾
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\清空文件夾
X:\Documents and Settings\你的用戶名\Application Data\Cuckoo\Host.dat
6.使用ICESWORD---文件---刪除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\刪除文件夾
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用戶名\Local Settings\Temp\清空文件夾
X:\Documents and Settings\你的用戶名\Application Data\Cuckoo\Host.dat
相關文章
熊貓免費殺毒服務 PandaSoftware...2007-02-02
bryato.exe,acpisys.sys等惡意文件清除解決方案
2008-02-02
2008-01-01
歐洲頂級殺病毒軟件熊貓衛(wèi)士 2008 12.01 Final最終版提供下載
2008-02-02
“禽獸”病毒(殺軟終結(jié)者)的分析和手動解決方法圖文
“禽獸”病毒(殺軟終結(jié)者)的分析和手動解決方法圖文...2007-10-10
非常不錯的封殺網(wǎng)絡木馬病毒十大絕招...2007-12-12
查殺rundllfromwin2000病毒的方法...2007-03-03
文件名稱:datmps.dll 文件大?。?3,760 bytes AV命名:Trojan-Spy.Goldun!sd6 加殼方式:UPX 文件MD5:3F5A6FB14D49675A62293B83863A8186 病毒類型:后門2008-07-07
熊貓燒香/千橡/威金專殺工具集合...2007-01-01
SuperDown.EXE,ShellDown.exe等清除指南
SuperDown.EXE,ShellDown.exe等清除指南...2007-02-02