瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 解决NTdhcp.exe木马关闭杀软的一个办法

1   1  /  1  页   跳转

解决NTdhcp.exe木马关闭杀软的一个办法

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:31 | 显示全部 短消息 资料
字号: 1楼

解决NTdhcp.exe木马关闭杀软的一个办法

Trojan-PSW.Win32.QQRob.16.d(卡巴斯基命名;病毒进程:NTDhcp.exe)。
这个木马感染系统后,系统像死掉一样,运行任何程序均无响应。被逼无奈,只好重启系统。
重启后,杀软不能启动运行(事实上,这个木马导致多款杀软不能启动运行。
今天,找到了解决这个问题的一个比较另类的(比较简单的)办法。请看下面4个附图:
注:哪位想要这个样本,用以测试其它杀软,请通过悄悄话留下您的邮箱。
图1。
感染系统重启后,卡巴斯基不能运行了

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:31:28
描述:



最后编辑2005-10-13 19:34:17
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:33 | 显示全部 短消息 资料
字号: 2楼

图2。

原来“机关”在这里——

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:33:08
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:34 | 显示全部 短消息 资料
字号: 3楼

图3。

重启系统后,问题解决了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:34:31
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:35 | 显示全部 短消息 资料
字号: 4楼

图4。

确实杀掉了。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-9-10 18:35:51
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:45 | 显示全部 短消息 资料
字号: 5楼

引用:
【真命小虫的贴子】baohe版主,如果您有条件请试试其它杀软能否用该方法解决无法启动自身的问题。
没样本上传真麻烦,我不在家,学校装的是瑞星2004,我无法测试
...........................


呵呵,遗憾!我的系统中只有卡巴。其他朋友们试试自己的杀软吧。这是个老马。多数杀软都能杀它。主要问题是:不慎中招后,怎么让杀软重新加载运行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 18:52 | 显示全部 短消息 资料
字号: 6楼

引用:
【命运里の金色的贴子】斑竹是通过TPF监控,在通过注册表比较看出来的,如果斑竹没装别的杀软也看不出来的
...........................


不是啊!感染系统后,想查看ACTIVITY MONITOR的记录都没响应。重启之前,什么侦察手段都派不上用场。
我是根据第一个图的提示,蒙到那个注册表项改动的。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-10 21:31 | 显示全部 短消息 资料
字号: 7楼

引用:
【我是天才陈叙的贴子】这个木马下载时卡巴不报吗?
...........................

当然报.
我是为一个网友解决问题时,特意关闭卡巴,感染系统后,观察到上述现象的.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-11 13:54 | 显示全部 短消息 资料
字号: 8楼

引用:
【salaried的贴子】瑞星服务组件好象都被删掉了
...........................

没删。 只是更改了注册表中的几个键值。卡巴被改的最少,仅仅一个。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT