瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 解决NTdhcp.exe木马关闭杀软的一个办法

1234   1  /  4  页   跳转

解决NTdhcp.exe木马关闭杀软的一个办法

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:31 | 只看楼主 短消息 资料
字号: 1楼

解决NTdhcp.exe木马关闭杀软的一个办法

Trojan-PSW.Win32.QQRob.16.d(卡巴斯基命名;病毒进程:NTDhcp.exe)。
这个木马感染系统后,系统像死掉一样,运行任何程序均无响应。被逼无奈,只好重启系统。
重启后,杀软不能启动运行(事实上,这个木马导致多款杀软不能启动运行。
今天,找到了解决这个问题的一个比较另类的(比较简单的)办法。请看下面4个附图:
注:哪位想要这个样本,用以测试其它杀软,请通过悄悄话留下您的邮箱。
图1。
感染系统重启后,卡巴斯基不能运行了

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:31:28
描述:



最后编辑2005-10-13 19:34:17
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:33 | 只看楼主 短消息 资料
字号: 2楼

图2。

原来“机关”在这里——

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:33:08
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:34 | 只看楼主 短消息 资料
字号: 3楼

图3。

重启系统后,问题解决了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:34:31
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:35 | 只看楼主 短消息 资料
字号: 4楼

图4。

确实杀掉了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:35:51
描述:
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-09-10 18:38 | 短消息 资料
字号: 5楼

感谢斑竹
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2005-09-10 18:41 | 短消息 资料
字号: 6楼

baohe版主,如果您有条件请试试其它杀软能否用该方法解决无法启动自身的问题。
没样本上传真麻烦,我不在家,学校装的是瑞星2004,我无法测试
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:45 | 只看楼主 短消息 资料
字号: 7楼

引用:
【真命小虫的贴子】baohe版主,如果您有条件请试试其它杀软能否用该方法解决无法启动自身的问题。
没样本上传真麻烦,我不在家,学校装的是瑞星2004,我无法测试
...........................


呵呵,遗憾!我的系统中只有卡巴。其他朋友们试试自己的杀软吧。这是个老马。多数杀软都能杀它。主要问题是:不慎中招后,怎么让杀软重新加载运行。
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-09-10 18:46 | 短消息 资料
字号: 8楼

斑竹是通过TPF监控,在通过注册表比较看出来的,如果斑竹没装别的杀软也看不出来的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:52 | 只看楼主 短消息 资料
字号: 9楼

引用:
【命运里の金色的贴子】斑竹是通过TPF监控,在通过注册表比较看出来的,如果斑竹没装别的杀软也看不出来的
...........................


不是啊!感染系统后,想查看ACTIVITY MONITOR的记录都没响应。重启之前,什么侦察手段都派不上用场。
我是根据第一个图的提示,蒙到那个注册表项改动的。
gototop
 
真命小虫
头像
初生襁褓狮
  • 帖子:424
  • 注册: 2005-08-04
  • 来自:
发表于: 2005-09-10 18:55 | 短消息 资料
字号: 10楼

谢谢baohe回复!
我没运行过这个病毒,想问问仅病毒进程能否启动杀软?

建议,版主设法提供样本给各位网友,然后置顶该帖子,改个名字,号召大家一起测试如何通过修改注册表打开自己杀软。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT