瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 进程C:\WINDOWS\SYSTEM32\NTSD.EXE触发了API类规则
玉女心经 - 2008-7-26 2:10:00
上网看了个flash, 刚打开网页,瑞星自我保护就出现了个方框,上面写: "进程C:\WINDOWS\SYSTEM32\NTSD.EXE触发了API类规则" 然后这个方框就不停的跳出来, 这是病毒么? 应该怎么办呢?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2)
超级游戏迷 - 2008-7-26 9:26:00
请按版规要求上传SRENG扫描日志附件
闪电风暴 - 2008-7-26 10:18:00
可能是你的计算机有漏洞,木马利用这个漏洞执行ntsd -XXX企图关闭瑞星(网上很多文章都说ntsd杀进程的能力很强,其实它是通过OpenProcess来打开目标进程再DebugActiveProcess来调试被结束进程,最后自己退出,系统将会自动将被结束进程干掉(Psp***)),但是对于瑞星Hook 了Nt**和Nt*****,这种方法无效,又引起了瑞星的关注。。。
riversking - 2008-7-26 10:38:00
ntsd.exe是windows结束进程的工具。
先检查一下这个文件被改没有
还是扫个日志上来吧
玉女心经 - 2008-7-26 20:37:00
:default21: jin tian shang wang fa xian "shu ru fa" mei le, suo yi zhi neng yong pin yin le. fu jian shi sao miao chu lai de ri zhi, da jia bang bang mang ba, shi fen gan xie! Thank you very much!:default54: :default7:

附件: SREngLOG.log
开心101 - 2008-7-26 21:45:00
删除 具体方法见http://bbs.ikaka.com/showtopic-8442813.aspx
c:\windows\system32\adsntzt.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\zgtwfx.dll

c:\windows\system32\mttwfh.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\dndsaf.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\kgfghd.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\presafe.sys
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\hjyqdmbitn.dll
c:\windows\system32\bvlazscjhj.dll
c:\windows\system32\iwrdcyvvse.dll
c:\windows\system32\uqprwccenh.dll
c:\windows\system32\sbazmbxvbs.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[16878]    <>
[qww]    <>
[qwe]    <>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}]    <C:\WINDOWS\system32\tdggrz.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}]    <C:\WINDOWS\system32\dndsaf.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}]    <C:\WINDOWS\system32\zsdgff.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}]    <C:\WINDOWS\system32\jhfrxz.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}]    <C:\WINDOWS\system32\kgfghd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}]    <C:\WINDOWS\system32\zgtwfx.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[wkdys / wkdys]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[presafe / presafe]    <\??\C:\WINDOWS\system32\drivers\presafe.sys>
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>

    系统修复-- 浏览器加载项之如下项删除:
[IEHlprObj Class]    <C:\WINDOWS\system32\hjyqdmbitn.dll>
[]    <C:\WINDOWS\system32\bvlazscjhj.dll>
[]    <C:\WINDOWS\system32\iwrdcyvvse.dll>
[]    <C:\WINDOWS\system32\uqprwccenh.dll>
[]    <C:\WINDOWS\system32\sbazmbxvbs.dll>
[IEHlprObj Class]    <C:\WINDOWS\system32\hjyqdmbitn.dll>
[]    <C:\WINDOWS\system32\bvlazscjhj.dll>
[]    <C:\WINDOWS\system32\iwrdcyvvse.dll>
[]    <C:\WINDOWS\system32\uqprwccenh.dll>
使用下面两个附件
分别修复映像劫持
清理临时文件夹

附件: 临时文件清理工具.rar

附件: 机器狗%26映像劫持修复工具.rar
玉女心经 - 2008-7-27 21:02:00
电脑没事了,谢谢各位大侠了,谢谢^^
kid葡萄 - 2008-7-29 19:30:00
我也出现这种情况了  怎么办呐?
开心101 - 2008-7-29 19:39:00


引用:
原帖由 kid葡萄 于 2008-7-29 19:30:00 发表
我也出现这种情况了  怎么办呐?

在另一个帖子里回你了
上传日志吧
1
查看完整版本: 进程C:\WINDOWS\SYSTEM32\NTSD.EXE触发了API类规则
© 2000 - 2026 Rising Corp. Ltd.