今天中了NTDETECT.EXE这个病毒诺顿2008没任何反应

小龙人

今天中了NTDETECT.EXE这个病毒诺顿2008没任何反应

zcw023

去下个红伞做扫描用，Norton扫描一般

alankoh

请楼主修改分类,不要用【原创】标签发帖,会被扣分的。

病毒分析：
电脑中了病毒，所有的分区都不能打开，用WINRAR查看发现每个分区根目录下都有Autorun.inf和NTDETECT.EXE这两个隐藏文件，不好，中毒了！
重启计算机，进入安全模式删除掉这些文件之后，一会就又出现了。
进入DOS模式下删除，也不行。发现分区中依然有这两个文件。
于是决定从注册表入手，打开注册表编辑器（在运行框中输入regedit ），查找ntdetect.exe，发现
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\NTDETECT.exe"="explorer Microsoft "
查找explorer Microsoft，结果发现了一个意外的信息：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\shellexplore.exe"="explorer Microsoft "
根据笔者的经验，在系统目录下的system32文件夹中好像没有shellexplorer.exe这个文件，糟糕@ explorer.exe被劫持了，打开文件夹，找到shellexplorer.exe并删除。
在注册表中继续查找shellexplore.exe，发现：
[HKEY_CLASSES_ROOT\Drive\shell\open\command]
@="C:\\WINDOWS\\system32\\shellexplore.exe %1"
终于明白了，在[HKEY_CLASSES_ROOT\Drive\shell]中本来是没有[open\command]子项的，病毒在下面创建了这个子项并将其值修改为shellexplore.exe 。当我们用资源管理器打开磁盘分区的时候，shellexplore.exe便开始感染所有分区。

清除病毒：
1. 重启进入安全模式；
2. 关闭所有调用Explorer.exe的程序（浏览器、资源管理器、我的电脑等）；
3. 打开注册表编辑器regedit.exe ；
4.编写批处理文件， 删除各分区下的Autorun.inf和NTDETECT.EXE这两个隐藏文件；
在记事本中输入：

echo off   
attrib c:\autorun.inf -s -h -r -a
attrib c:\NTDETECT.EXE -s -h -r -a
attrib d:\autorun.inf -s -h -r -a
attrib d:\NTDETECT.EXE -s -h -r -a
attrib e:\autorun.inf -s -h -r -a
attrib e:\NTDETECT.EXE -s -h -r -a
rem 剩余的盘符自己补充，这里就不在赘述
rem 前面部分是改变这两个文件的属性
del /f /s /q c:\autorun.inf
del /f /s /q c:\NTDETECT.EXE
del /f /s /q d:\autorun.inf
del /f /s /q d:\NTDETECT.EXE
del /f /s /q e:\autorun.inf
del /f /s /q e:\NTDETECT.EXE
rem 剩余的盘符自己补充，这里就不在赘述
rem 前面部分是删掉这两个文件

并保存为*.bat文件，运行即可；
5. 在注册表编辑器里查找所有带有NTDETECT.EXE的项并删除；
6. 查找所有带explorer Microsoft的值并删除；
7. 查找所有带Shellexplore.exe的值并删除；
8. 重新启动计算机。

aribeth199

没有杀毒软件是万能的。

hyq2003

同情。。。。。。。。。。。

沙加

这个病毒在今年上半年赛门铁克的病毒库就已经能够查杀了，不知道楼主是怎么弄的

robert870119

原帖由 沙加 于 2008-9-27 09:38 发表
这个病毒在今年上半年赛门铁克的病毒库就已经能够查杀了，不知道楼主是怎么弄的

有些人就喜欢发表下，又一个杀软放过了某一个病毒。。然后，某某杀软可以查杀。。这样效果很好。