今天晚上大概7点多钟的时候,电脑有时变的狂慢,有时处于死机状态,QQ呢就自动关闭。。
经过多年的修炼,知觉告诉我中病毒了。。偶向来是不开杀毒软件的,认为开了没什么用,小的病毒杀毒软件可以杀,厉害的杀毒软件根本防不了。。 打开进程一看, 果然多了个NTDPcH.exe的进程,这个进程以前都没看到过,猜测病毒肯定是他了。。 杀毒软件查找到了他位于C:/WINNT/System32/NTDPcH.exe 偶是Win2000系统。。 于是找到病毒,并用自己以前的杀毒方式来下。。
方式一: 把NTDPcH.exe给删了,但是过了一会他自己又生成NTDPcH.exe了。。结果:失败
方式二: 把NTDPcH.exe删了,然后在新建一个空文本,重命名为NTDPcH.exe,过了一会,又自动生成并把我创建的NTDPcH.exe给覆盖了。 结果:失败。。
方式三: 于是我试着删除ntd*.*的文件,有很多这个文件,但是有NTDLL.DLL和ntdsa.dll等删不了,说它门正在使用,其他的删了后有自动创建了。。 郁闷。心想进DOS删,不信删不了你。 于是进了重启用光盘进了DOS.. 很利落的就把NTDLL.DLL和ntdsa.dll给删掉了。。 心想总算解决了。。 结果重启, 过了一会,电脑没有显示我希望看到的画面,而是显示一排排错误。。 饿饿饿。。 看来偶删除文件了,他们不是病毒文件是系统文件。。。 饿饿饿。。。。 我的系统啊。。 结果:失败, 危害:系统完蛋了。
方式三: 诶。 只能拿出最后的法宝了Ghost。 还原系统。。 结果:病毒杀了。
病毒是没了,不过偶前几天装的Oracle就没了(当时没备份)。。得重装。 55555
还原后,上网差了下NTDPcH.exe病毒,晕,有一大片的资料,病毒特征啊,病毒行为啊,杀毒方法啊。。 诶。早知道就上网差了,就不会要还原系统了。。 失误,失误啊。
PS:希望大家看后不要象我这般糊涂了。。。
病毒资料:W32/QQRob.V15-tr | |||||||||
基本信息 | |||||||||
病毒名称: | W32/QQRob.V15-tr | 类型: | 木马 | 长度: | 28376 | 威胁级别: | 2 | 捕获日期: | 2005-09-10 |
其它别名: | Trojan-PSW.Win32.QQRob.15;W32/QQRob.A@pws | 影响系统: | MS-Windows | ||||||
表现特征 | |||||||||
1.经常无故的弹出一些网页广告; 2.某些反病毒软件不能正常运行; 3.QQ的密码可能会被他人盗用。 | |||||||||
行为分析 | |||||||||
1.该木马隐藏于一个畸形的CHM文件中,打开这个CHM文件,木马就会被自动释放出来并且得到执行; 2.木马被释放到%SYSTEM%目录,名为“NTdhcp.exe”,具有“隐藏”、“系统”和“只读”属性; 3.修改注册表,在注册表启动项 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run 下添加如下值:"NTdhcp"="%SYSTEM%\NTdhcp.exe" 4.删除大量反病毒软件的在注册表启动项中的值: KAVPersonal50 RavMon RavTimer KvMonXP iDuba Personal FireWall KAVRun KpopMon Kulansyn KavPFW ccApp SSC_UserPrompt NAV CfgWiz MCAgentExe McRegWiz MCUpdateExe MSKAGENTEXE MSKDetectorExe VirusScan Online VSOCheckTask Network Associates Error Reporting Service KavStart KWatch9x 5.设置注册表中下列各项的“Start”值为4,从而禁止这些反病毒服务程序: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kavsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KVSrvXP HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPfwSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KWatchSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNDSrvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccProxy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccEvtMgr HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ccSetMgr HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SPBBCSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Symantec Core LC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NPFMntor HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MskService HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FireSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McShield HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McTaskManager HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework 6.监视禁止以下反病毒进程: FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE RAVTIMER.EXE KVXP.KXP KVCENTER.KXP Iparmor.exe MAILMON.EXE KAVPFW.EXE KmailMon.EXE KAVStart.exe KATMain.EXE TrojanDetector.EXE KVFW.EXE KVMonXP.KXP KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE EGHOST.EXE KRegEx.exe TrojDie.kxp KVOL.exe kvolself.exe KWatch9x.exe 7.查找监视以下标题的窗口,发现时将其关闭: “卡巴斯基反病毒单机版”,“Symantec AntiVirus 企业版”,“江民杀毒软件 KV2004:实时监视”, “RavMon.exe”,“ZoneAlarm”,“天网防火墙个人版”,“天网防火墙企业版”; 含有以下控件名的特定窗体也将被其关闭:“〖列举启动〗”,“〖QQ精灵〗”,“〖IE精灵〗”; 8.该木马主要功能为监视QQ登录窗口,截获QQ用户密码等信息,并发到木马种植者的邮箱里; 9.可从指定网站上下载执行新的恶意程序 我们分析的样本会从“http://alaqq150.****.org/new.jpg”下载文件(实为EXE文件)并执行它,执行完后自动删除自身,下载下来的程序是一个弹出网页广告的程序,不过网站上的供木马下载执行的程序随时可被木马种植者替换成任意恶意程序。 | |||||||||
清除方法 | |||||||||
1.打开任务管理器,结束进程“NTdhcp.exe”; 2.删除隐藏文件“%SYSTEM%\NTdhcp.exe”; 3.打开注册表编辑器,删除注册表启动项 HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Run 下木马添加的值:"NTdhcp"="%SYSTEM%\NTdhcp.exe" 4.重新恢复可能被木马破坏的的反病毒程序的启动服务。 |
评论