病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« NSIS ERROR错误的解决思路清除aliimz.sys、pcidump.sys、cehkmdok.dll等病毒 »

开机显示ntsd.exe程序错误

  同事的电脑一开机,就弹出一个“程序错误”的提示框:“ntsd.exe产生了错误,会被windows关闭。您需要重新启动程序。正在创建错误日志。”,点确定关闭后,很快又跳出几个来,同时电脑上安装的杀毒软件以及卡卡助手不能启动(应该猜到是哪个杀毒软件了吧,当然这里不怪它,因为用的竟然是2007的版本),任务管理器也打不开,很明显有映像劫持。不过在寻找备份文件过程中还发现了usp10.dll,只有7K多的大小(正常文件有300多K大),看来还有犇牛(也有叫猫癣)病毒,还发现输入法图标也不见了,更确定了这个输入法杀手。不管叫什么,usp10.dll不会单独存在,它是个下载器,会下载很多木马病毒到电脑上,果然很多。

ntsd.exe产生了错误

具体清除方法与步骤:

1.删除以下文件(参考怎样根据SREng日志的分析报告清除病毒
 
c:\program files\internet explorer\plugins\b54321.bho
c:\program files\internet explorer\dxplrobt.rxf
c:\program files\internet explorer\sedtmazl.rz2
c:\program files\internet explorer\powerja.ask
c:\windows\system32\csrsm.exe
c:\windows\system32\drivers\aliimz.sys
c:\windows\system32\drivers\hbkernel32.sys
c:\windows\system32\vxfly32.dll
C:\DOCUME~1\USER\LOCALS~1\Temp\863374

以下由随机数字、字母组合文件名的部分可能不止以下所列或有其它变种,可以根据相同的文件日期(近期)进行分辨
c:\windows\system32\16af66eb.dll
c:\windows\system32\1957817a.dll
c:\windows\system32\201476d0.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\72b29486.dll
c:\windows\system32\91c7df6d.dll
c:\windows\system32\a1a6bc2e.dll
c:\windows\system32\d64374e8.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\f71a67d5.dll
……

2.使用SREng修复下面各项

    启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <nwiz><vxFly32.exe>
    <stup><C:\DOCUME~1\USER\LOCALS~1\Temp\863374> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{56E800F9-8E27-451B-B960-53EC724C3A87}><C:\Program Files\Internet Explorer\SedtMazl.Rz2> 
    <{C3919446-AF54-44AE-9CFB-CEF0AB35A3C1}><C:\Program Files\Internet Explorer\DxPlroBt.Rxf>
    <{08CBFE20-8DC8-4195-B8E2-DD66F860469D}><C:\Program Files\Internet Explorer\PowerJa.ask>
    以下随机数字、字母组合文件名部分解释见上“删除文件部分”
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><08223B03.dll>
    <{5934EA2B-B2C4-4BE7-BF7A-FBA781A12E40}><5934EA2B.dll>
    <{E3367679-4775-4244-A62E-4CFE58FC850B}><E3367679.dll> 
    <{3F21AA0C-2A9E-4BE9-9083-9E58AB41BA01}><3F21AA0C.dll>
    <{70B0129E-726E-4789-A7C0-5DDC33241E94}><70B0129E.dll>
    <{58FF3024-8A83-4B1A-88E9-302F47646EEE}><58FF3024.dll>
    <{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}><F65BDEC7.dll> 
    <{16AF66EB-93C8-49F9-BB09-B4F87CEDCE46}><16AF66EB.dll> 
    <{72B29486-39B6-4241-B234-B57DEF78302F}><72B29486.dll> 
    <{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><A1A6BC2E.dll>
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll>
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><704C3595.dll> 
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>
    <{1957817A-94B2-4CAC-B113-A331809B5730}><1957817A.dll>
    <{91C7DF6D-AEF5-4136-9252-AF030D7A5931}><91C7DF6D.dll> 
    <{D64374E8-8B1D-49AB-9284-5072687B6BD3}><D64374E8.dll> 
    <{F71A67D5-5BBB-47A3-9534-4150FC739257}><F71A67D5.dll> 
    <{16BC0F81-410C-41DF-A902-1B04368BA8AE}><16BC0F81.dll>   

注册表中还有大量的映像劫持IFEO,绑架了大部分的杀毒软件,甚至包括usbcleaner、360、QQ医生,还有文件监视的filemon.exe,不过没有SREng与windows清理助手等,就算有也有办法处理,大不了用PE挂接硬盘的注册表。以上IFEO项我不列举了一并删除,它们大部分使用ntsd -d命令来劫持正常程序,因此在开机启动时会提示ntsd错误,有少部分使用c:\windows\system32\svchost.exe,不过这个svchost.exe就不要删除了,只要删除注册表项即可。

    启动项目-服务-Win32服务应用程序之如下项删除:
[zztxwinds / zztxwinds]    <"C:\WINDOWS\system32\csrsm.exe" tcp>
 
    启动项目-服务-驱动程序之如下项删除:
[aliimz / aliimz]    <System32\Drivers\aliimz.sys>
[HBKernel32 Driver / HBKernel32]    <\SystemRoot\system32\drivers\HBKernel32.sys>
 
    系统修复-浏览器加载项之如下项删除:
[]    <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>
[]    <C:\Program Files\Internet Explorer\SedtMazl.Rz2>
[]    <C:\Program Files\Internet Explorer\DxPlroBt.Rxf>
[]    <C:\Program Files\Internet Explorer\PowerJa.ask>

 进入c:\windows\system32\drivers\etc\,用记事本打开HOSTS文件,删除其中指向222.189.238.6的几行内容(这里HOSTS文件竟然被设置成隐藏、只读属性,且隐藏属性为灰色不可改,这倒不要紧)。

  然后,全盘搜索病毒文件usp10.dll、psapi.dll(正常的系统文件30K左右)、thumbs.db,全部删除。清空临时文件、IE缓存,再顺便检查下IE主页(本例中IE主页被修改成2345.com)。接着到正常的电脑上拷贝ctfmon.exe到c:\windows\system32\下(如果没有安装文字服务的,则是拷贝internat.exe),并到控制面板中设置在桌面上显示输入法图标,否则桌面上仍然没有输入法,同时手动添加到注册表的启动项中,不然下次开机输入法图标不会启动的(除非你愿意每次都手动运行它们),添加位置一般就在RUN项中,可以参考其它电脑上的位置(我的电脑上是在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,在右边窗口中新建一个字符串值ctfmon.exe,数据为c:\windows\ctfmon.exe)

  重启电脑,杀毒软件也应该活了,运行杀毒软件扫尾(当然我不会用2007版的东东扫找,另下了一个NOD32)。最后说明一下,如果你嫌上述手动查杀很麻烦,可以先用windows清理助手(arswp)来清理,再检查遗漏项,我就是这么做的。不过清理助手这次清理时可能误删了一个beep.sys的文件,不过没关系,最后从别的电脑上拷过来就是或者从原备份的GHOST文件中提取也行。

  一般这样就差不多了,如果你更认真些,而且有一定病毒识别能力,可以进入系统文件夹中,按文件创建日期和修改日期再检查下,删除近期出现的可疑文件(不要误删就行)。 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/278.html

  • 1楼.zchdd11111
  • 来看下老朋友,呵呵
    wangweinoo1 于 2009-3-9 23:06:47 回复
    亦然~
  • 2009-3-9 22:02:04  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号