查看: 2714|回复: 6
收起左侧

[原创] 今天中了NTDETECT.EXE这个病毒诺顿2008没任何反应

[复制链接]
小龙人
发表于 2008-9-27 06:28:23 | 显示全部楼层 |阅读模式
今天中了NTDETECT.EXE这个病毒诺顿2008没任何反应

评分

参与人数 1经验 -2 收起 理由
xuange -2 抱歉,标签与版规不符

查看全部评分

zcw023
发表于 2008-9-27 06:38:23 | 显示全部楼层
去下个红伞做扫描用,Norton扫描一般
alankoh
发表于 2008-9-27 07:36:47 | 显示全部楼层
请楼主修改分类,不要用【原创】标签发帖,会被扣分的。

病毒分析:
电脑中了病毒,所有的分区都不能打开,用WINRAR查看发现每个分区根目录下都有Autorun.inf和NTDETECT.EXE这两个隐藏文件,不好,中毒了!
重启计算机,进入安全模式删除掉这些文件之后,一会就又出现了。
进入DOS模式下删除,也不行。发现分区中依然有这两个文件。
于是决定从注册表入手,打开注册表编辑器(在运行框中输入regedit ),查找ntdetect.exe,发现
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\NTDETECT.exe"="explorer Microsoft "
查找explorer Microsoft,结果发现了一个意外的信息:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\shellexplore.exe"="explorer Microsoft "
根据笔者的经验,在系统目录下的system32文件夹中好像没有shellexplorer.exe这个文件,糟糕@ explorer.exe被劫持了,打开文件夹,找到shellexplorer.exe并删除。
在注册表中继续查找shellexplore.exe,发现:
[HKEY_CLASSES_ROOT\Drive\shell\open\command]
@="C:\\WINDOWS\\system32\\shellexplore.exe %1"
终于明白了,在[HKEY_CLASSES_ROOT\Drive\shell]中本来是没有[open\command]子项的,病毒在下面创建了这个子项并将其值修改为shellexplore.exe 。当我们用资源管理器打开磁盘分区的时候,shellexplore.exe便开始感染所有分区。

清除病毒:
1. 重启进入安全模式;
2. 关闭所有调用Explorer.exe的程序(浏览器、资源管理器、我的电脑等);
3. 打开注册表编辑器regedit.exe ;
4.编写批处理文件, 删除各分区下的Autorun.inf和NTDETECT.EXE这两个隐藏文件;
在记事本中输入:

echo off   
attrib c:\autorun.inf -s -h -r -a
attrib c:\NTDETECT.EXE -s -h -r -a
attrib d:\autorun.inf -s -h -r -a
attrib d:\NTDETECT.EXE -s -h -r -a
attrib e:\autorun.inf -s -h -r -a
attrib e:\NTDETECT.EXE -s -h -r -a
rem 剩余的盘符自己补充,这里就不在赘述
rem 前面部分是改变这两个文件的属性
del /f /s /q c:\autorun.inf
del /f /s /q c:\NTDETECT.EXE
del /f /s /q d:\autorun.inf
del /f /s /q d:\NTDETECT.EXE
del /f /s /q e:\autorun.inf
del /f /s /q e:\NTDETECT.EXE
rem 剩余的盘符自己补充,这里就不在赘述
rem 前面部分是删掉这两个文件

并保存为*.bat文件,运行即可;
5. 在注册表编辑器里查找所有带有NTDETECT.EXE的项并删除;
6. 查找所有带explorer Microsoft的值并删除;
7. 查找所有带Shellexplore.exe的值并删除;
8. 重新启动计算机。

评分

参与人数 1经验 +4 收起 理由
gwg829 + 4 感谢解答: )

查看全部评分

aribeth199
发表于 2008-9-27 07:46:00 | 显示全部楼层
没有杀毒软件是万能的。
hyq2003
发表于 2008-9-27 08:18:49 | 显示全部楼层
同情。。。。。。。。。。。
沙加
发表于 2008-9-27 09:38:01 | 显示全部楼层
这个病毒在今年上半年赛门铁克的病毒库就已经能够查杀了,不知道楼主是怎么弄的
robert870119
发表于 2008-9-27 10:37:15 | 显示全部楼层
原帖由 沙加 于 2008-9-27 09:38 发表
这个病毒在今年上半年赛门铁克的病毒库就已经能够查杀了,不知道楼主是怎么弄的


有些人就喜欢发表下,又一个杀软放过了某一个病毒。。然后,某某杀软可以查杀。。这样效果很好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 05:17 , Processed in 0.109616 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表