关于nttstat.exe的解决办法_病毒查杀

File size: 57108 bytes 
MD5: 9207fdee2f25a834d4e7151475fc7f45 
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505 
病毒名称:Trojan-Downloader.Win32.QQHelper.vn      <Kaspersky命名>

运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下

Code:

%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

又是一个利用IFEO劫持的病毒.

Code:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
<Explorer.exe><%SYSTEMroot%\nttstat.exe>

如图一:

%WINDIR%\d6.exe释放病毒如下:

Code:

%Program Files%\Common Files\CPUSH\Uninst.exe
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\nsa1A.tmp

%WINDIR%\ft001.exe释放病毒如下:

Code:

%SYSTEMroot%\drivers\gpkcsw.sys
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1d.tmp

附sreng日志:

驱动程序

Code:

[gpkcsw / gpkcsw][Stopped/Boot Start]
    <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

==================================
浏览器加载项

Code:

[CAdLogic Object]
    {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >

==================================
正在运行的进程

Code:

[PID: 432][C:\windows\Explorer.EXE] 
      [C:\windows\KB9269O4.log]    [N/A, ]
[PID: 432][C:\windows\nttstat.exe]    [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe] 
[PID: 1076][C:\windows\system32\RUNDLL32.exe] 
      [C:\windows\system32\hydlvr.dll]
  

解决方法:
1.开始---运行---regedit---依次展开:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
删除:
<Explorer.exe>

2.运行ICESWORD---设置---禁止进线程创建---中止病毒进程

Code:

%WINDIR%\d6.exe

3.使用ICESWORD---设置---禁止进线程创建---强制卸载被插入进程Explorer.EXE<如图二>及

Code:

RUNDLL32.exe
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll

4.运行SRENG---启动项目---服务---驱动程序---删除服务

Code:

[gpkcsw / gpkcsw][Stopped/Boot Start]
    <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

5.关闭所有浏览窗口以及一些不必要的程序
运行SREng2,使用:系统修复--浏览器加载项--选中以下的项删除

Code:

C:\Program Files\Common Files\CPUSH\cpush0.dll
6.使用ICESWORD---文件---删除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\删除文件夹
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\清空文件夹
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

时间: 2024-07-31 03:13:46

关于nttstat.exe的解决办法_病毒查杀的相关文章

流氓软件pchome\.setupf、realupdate.exe的解决办法_病毒查杀

本篇日志是从求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版       病毒文件及文件夹         %windir%\winamps.exe       %windir%\realupdate.exe       %windir%\POPNTS.DLL       %windir%\ScNotify.dll       %system%\{pchome}\.setupf\ 添

关于WIN32.EXE变态木马下载器的解决办法_病毒查杀

一.WIN32.EXE的来源:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 二.运行后的表现:此WIN32.EXE通过80和8080端口访问若干个IP,若防火墙不能监测到或令防火墙允许该访问,WIN32.EXE会自动下载木马Kernels8.exe到system32目录下:Kernels8.exe自网络下载1.dlb.2.dlb.....等一堆木马到当前用户文件夹中,并自动运行.下载的木马加载运行后,又从网络上下载其它木马/蠕虫. 木马/蠕虫完全下载

恶意网站4255.biz的完美解决办法_病毒查杀

问题提出和症状:最近上网碰到这个网站(4255.biz),无意中了它的招,之后每当访问其他网站的时候,都会从4255.biz 上下载数据,并且其他网站都不能下载完整,不能正常访问,郁闷了好久,尤其是带框架的网站干脆就出不来. (该图为诺顿报毒和处理结果)分析:(此分析内容为C.I.S.R.T.博客小陌摘录) 打开该网页后,就可以看到三个恶意网址: 001.htm用到的是MS07-017漏洞的网马:002.htm用到的是MS06-014漏洞的网马:003.htm会下载ccc.html(其实是个ch

中了桌面上的ie.exe的解决方法_病毒查杀

目前杀毒软件还不能彻底清除  病毒除了在C盘产生病毒文件IE.EXE等等外,会修改游戏启动文件 如原文件名是 jxonline.exe 病毒就改了原来的文件名成为 jxonline~.exe,然后生成感染病毒的jxonline.exe  在第8次重装完系统后终于. 当我装好系统,心想终于可以玩游戏了,  结果一运行游戏,马上防火墙就检测到有一堆不知道那里冒出来的程序要求访问网络,接着就不断的弹出一大堆广告网业,主业跟着被修改.且每次重新打开IE主业都被改一次(厉害,主业也做到自动切换)   救命

odbcasvc.exe导致CPU使用100%问题的解决办法_病毒查杀

1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.   清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删除工具  PowerRMV 下载地址:  http://post.baidu

病毒Autorun.inf、pagefile.pif等的解决办法_病毒查杀

释放文件  复制代码 代码如下: %Program Files%\Internet Explorer\PLUGINS\Autorun.inf  %Program Files%\Internet Explorer\PLUGINS\pagefile.pif  %Program Files%\Internet Explorer\PLUGINS\WinNice.dll  X:\Autorun.inf (X为非系统盘其他盘符)  X:\pagefile.pif 添加注册表信息如启动项 复制代码 代码如下:

Windows提示找不到文件“chkfat.exe”的解决方法_病毒查杀

尽管已经中毒,但卡巴斯基对这一个进程,一个文件,只能循环连续地报毒,再报杀毒成功,一个chkfat.exe需要重启后删除.          在msconfig启动中关了可疑进程后,重启卡巴斯基提示仍然!察看进程仍可以看到chkfat.exe的运行.结束进程后它随即又启动,卡巴斯基提示仍然!          在window的system32中找到chkfat.exe文件,用unlocker删除,按提示重启电脑,在再开机后弹出提示说,Windows找不到文件"chkfat.exe",请

使用仙剑奇侠传四算号器不小心中了广告插件的解决办法_病毒查杀

仙四出来了,可恨的居然有人-- 删除方法: 1,IE工具-管理加载项,把popblock...(大概是这个名)那项禁用 2,关闭所有IE窗口 3,开始-运行-regedit,查找wmvploc,把找到的键值的父项(就是很多字母数字的那种项)删除(新手不确定的话慎用!删错可能系统崩溃),有两处. 4,在系统文件夹下删除wmvploc.dll 等免CD补丁中-- 附EMULE下载地址: ed2k://|file|%5B%E4%BB%99%E5%89%91%E5%A5%87%E4%BE%A0%E4%B

iexplore.exe在打开网页时CPU使用会100%的解决方法_病毒查杀

CPU占用100%解决办法  一般情况下CPU占了100%的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了.  当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要CPU正常了那就没问题:如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去google或者 baidu 搜.有时只结束是没用的,在 xp下我们可以结合msconfig里的启动项,把一些不