关于nttstat.exe的解决办法

File size: 57108 bytes 
MD5: 9207fdee2f25a834d4e7151475fc7f45 
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505 
病毒名称:Trojan-Downloader.Win32.QQHelper.vn      <Kaspersky命名>

运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下

Code:

%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

又是一个利用IFEO劫持的病毒.

Code:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
<Explorer.exe><%SYSTEMroot%\nttstat.exe>

如图一:

%WINDIR%\d6.exe释放病毒如下:

Code:

%Program Files%\Common Files\CPUSH\Uninst.exe
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\nsa1A.tmp

%WINDIR%\ft001.exe释放病毒如下:

Code:

%SYSTEMroot%\drivers\gpkcsw.sys
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1d.tmp

附sreng日志:

驱动程序

Code:

[gpkcsw / gpkcsw][Stopped/Boot Start]
    <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

==================================
浏览器加载项

Code:

[CAdLogic Object]
    {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >

==================================
正在运行的进程

Code:

[PID: 432][C:\windows\Explorer.EXE] 
      [C:\windows\KB9269O4.log]    [N/A, ]
[PID: 432][C:\windows\nttstat.exe]    [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe] 
[PID: 1076][C:\windows\system32\RUNDLL32.exe] 
      [C:\windows\system32\hydlvr.dll]

解决方法:
1.开始---运行---regedit---依次展开:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
删除:
<Explorer.exe>

2.运行ICESWORD---设置---禁止进线程创建---中止病毒进程

Code:

%WINDIR%\d6.exe

3.使用ICESWORD---设置---禁止进线程创建---强制卸载被插入进程Explorer.EXE<如图二>及

Code:

RUNDLL32.exe
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll

4.运行SRENG---启动项目---服务---驱动程序---删除服务

Code:

[gpkcsw / gpkcsw][Stopped/Boot Start]
    <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

5.关闭所有浏览窗口以及一些不必要的程序
运行SREng2,使用:系统修复--浏览器加载项--选中以下的项删除

Code:

C:\Program Files\Common Files\CPUSH\cpush0.dll
6.使用ICESWORD---文件---删除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\删除文件夹
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\清空文件夹
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

(0)

相关推荐

  • 关于nttstat.exe的解决办法

    关于nttstat.exe的解决办法

    File size: 57108 bytes MD5: 9207fdee2f25a834d4e7151475fc7f45 SHA1: 37e51a5632fd615432840fd480abd9ba175a0505 病毒名称:Trojan-Downloader.Win32.QQHelper.vn      <Kaspersky命名> 运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下 Code: %SYSTEMroot%\nttstat.exe%WINDIR%\nt

  • 流氓软件pchome\.setupf、realupdate.exe的解决办法

    本篇日志是从求助SREng日志整理出来的,主要表现是弹出广告,在收到邮件后,发现这个东东跟前段时间整理的流氓软件0848\baisoa几乎一致,看来也只是一个毫无新意的升级版 病毒文件及文件夹 %windir%\winamps.exe       %windir%\realupdate.exe       %windir%\POPNTS.DLL       %windir%\ScNotify.dll       %system%\{pchome}\.setupf\ 添加注册表启动项 HKEY_C

  • 关于Tomcat服务器无法打开tomcat7w.exe的解决办法

    关于Tomcat服务器无法打开tomcat7w.exe的解决办法

    今天配置Tomcat服务器的时候遇到了一点问题,提供借鉴.关于配置教程网上很多自己参考,如果遇到问题可以查看下面这个链接基本说的比较详细:https://zhidao.baidu.com/question/874079261073744612.html 主要是配置完之后打开tomcat7w.exe仍然打不开,当时以为没有配置好,尝试了很多办法,依然打不开.但是后来发现虽然这个文件打不开但是在cmd命令执行: 执行结果最后出现信息: 这时候才忽然发现,其实早就配置好了Tomcat只是tomcat7

  • 安装ppstream后出现的ppsap.exe进程解决办法

    出品者:PPS网络电视 属于:ppstream 系统进程:否 后台程序:否 使用网络:是 硬件相关:否 常见错误:未知N/A 内存使用:7.496MB 高峰内存使用:20MB 能否终止:能 安全等级(0-5):0 间谍软件:否 广告软件:否 广告软件:否 木马:否 停止ppsap.exe进程的具体操作:打开ppstream,然后:"工具"->"选项"->"点播服务"->勾掉"允许pps加速器".不过这样一来观

  • python用pyinstaller封装exe双击后疯狂闪退解决办法

    python用pyinstaller封装exe双击后疯狂闪退解决办法

    这里我们需要分析问题报错闪退问题,如何查看问题: 利用 截图工具或者 QQ截图快捷键 去抓取cmd窗口的闪退里面的内容,去查看问题. 大部分都是因为 缺少模块包 导致的.在这里我想说的是网上那种 加 input 和 os.system("pause") 还有在cmd命令模式下加 .\***.exe 都是没有用的,如果你的代码真的没有input 那的确是要添加.就算不添加其实也能在CMD命令窗口中执行代码的缓慢过程,但 是 不会闪退的. 闪退解决办法: 1.利用QQ快捷键截图到exe在c

  • mysql免安装版1067错误终极解决办法图文教程

    mysql免安装版1067错误终极解决办法图文教程

    [从笔记本到pc] 笔记本一直都使用MySQL免安装版5.6.17,使用如下方法安装: 今天把同一个zip包传到pc上,按上面的方法安装居然报1067,按上面方法多次尝试还是不行. 百度,google查半天还是不行,最终折腾到一个好办法,应该可以一劳永逸的解决这个问题. [windows事件查看] 我的电脑--此电脑--右键管理--计算机管理--系统工具--事件查看器--Windows日志--应用程序--找错误标志,如下图 发现提示3306被占用 [杀掉占用程序] 通过netstat -ano查

  • mysql运行net start mysql报服务名无效的解决办法

    mysql运行net start mysql报服务名无效的解决办法

    运行net start mysql报服务名无效的解决办法,供大家参考,具体内容如下 1. 症状 以前电脑上安装了 MySQL,今天在电脑上运行,发现没有 MySQL 服务了 C:UsersAdministrator>net start mysql 服务名无效. 请键入 NET HELPMSG 2185 以获得更多的帮助 2. 解决办法 输入 mysqld.exe -install MySQL 安装在:D:\wamp\bin\mysql\mysql5.1.53 以上就是本文的全部内容,希望对大家的

  • iis6网站属性没有asp.net选项卡的解决办法

    iis6网站属性没有asp.net选项卡的解决办法

    iis6安装了asp.net,但是网站属性中没有显示asp.net选项卡. 解决办法如下:   1,如果是只安装了.net framework 1.1 在iis中是不显示那个选项卡的.默认就会支持asp.net1.1.在安装了.net framework 2.0后,iis站点属性里才会有asp.net的选项.   2,安装asp.net2.0后,请关闭iis窗口,重新打开iis,iis站点属性里才会有asp.net的选项   3,如果还没有,那么就要重新在IIS中注册asp.net,方法如下:

  • IIS配置文件的XML格式不正确 applicationHost.config被破坏 恢复解决办法

    IIS配置文件的XML格式不正确 applicationHost.config被破坏 恢复解决办法

    当打开IIS管理器,或配置网站时提示错误:配置文件的XML格式不正确 且是applicationHost.config的问题,那么肯定是applicationHost.config被破坏,IIS就崩溃. 解决办法就是恢复applicationHost.config 先检查C:\Windows\System32\inetsrv\config目录下的applicationHost.config文件,最好备份一份 使用IIS提供的AppCmd.exe的restore功能恢复applicationHos

  • 当前标识没有对

    当前标识没有对"Temporary ASP.NET Files"的写访问权限的解决办法

    在IIS上部署程序后出现错误-当前标识(NT AUTHORITY/NETWORK SERVICE)没有对"C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/Temporary ASP.NET Files"的写访问权限: 这种情况通常是因为先安装了.net Framework,然后再安装IIS服务器导致的,所以只要在IIS重新注册一遍.net Framework就可以了: 在命令行中输入命令: 复制代码 代码如下: C:/WINDOWS/Micr

随机推荐