★我要吧★

 找回密码
 注册[Register]
搜索
qq空间相册密码查看为什么登陆后需要激活无法注册?

ntfs.dll病毒ntfs.dll木马清除办法

[复制链接]
发表于 2008-3-15 16:29:24 | 显示全部楼层 |阅读模式
ntfs.dll病毒ntfs.dll木马中毒症状:

  开机依然不显示桌面,依然要点CTRL+ALT+DELETE的任务管理器 新建任务 c://Documents and Settings 才能显示桌面,但会弹出一个对话框

  Windows 找不到文件 ’/indlist,:504:788,C:Documents’。请确定文件名是否正确后,再试一次。要搜索文件,请单击[开始]按钮,然后单击“搜索”。

  另外每次重起再开机,金山毒霸杀毒都会出现一个恶意软件: 异常的系统文件userinit.exe 发现安装。怎么也移除不了,而且也无法修复这个文件。

  再打开SRENGPS。EXE 弹出对话框:

  警告!注册表值 UserInit 被修改为非正常值.

  (对于 Windows 2000,默认值类似于:"C:WINNTsystem32Userinit.exe,".对于Windows XP 或更高版本,默认值类似于:"C:WINDOWSsystem32Userinit.exe,").请检查你的系统中可能存在的计算机病毒.

  请问是否用 System Repair Engineer 自动修复?

  每次我都点是,但每次重起以后再开还是会有.

  另外我把网镖安全开到最高每次开机都有会弹出:

  成功拦截1个从220.165.29.64接收ICMP数据包,对应本机地址为222.215.37.28

  ntfs.dll病毒ntfs.dll木马病毒分析:

  ntfs.dll病毒是机器狗病毒的一种

  病毒名称:Trojan/Agent.pgz

  中 文 名:机器狗

  病毒类型:木马

  危害等级:★★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  病毒运行特征:

  “机器狗”病毒运行后,会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。

  该病毒还会随着ARP病毒传播,因此对局域网杀伤性极大。针对此病毒,江民科技反病毒中心已经及时升级了病毒库,只要将KV杀毒软件升级至最新版本,即可有效防范查杀此病毒。
ntfs.dll病毒ntfs.dll木马机器狗解决方案

  1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播,因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业,采用双向绑定策略,在交换机或路由器上绑定好全网的IP-MAC地址,在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒,该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。

  如果不具备双向绑定的条件,可以采用划分VLAN 的方法,来隔离网络的不同区域,这样可以把ARP病毒的危害降低到最小。

  2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看,发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的,因此打好补丁十分关键。

  MS06-014 中文版系统补丁下载地址:

  http://www.microsoft.com/china/t ... letin/MS06-014.mspx

  MS06-014 英文版系统补丁下载地址:

  http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

  MS07-017 中文版系统补丁下载地址:

  http://www.microsoft.com/china/t ... letin/MS07-017.mspx

  MS07-017 英文版系统补丁下载地址:

  http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

  3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中,还利用时下最为流行的应用软件漏洞进行挂马传播,例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛,这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。

  4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要,由于“机器狗”病毒还会利用U盘传播,因此如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。

  关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,保护计算机系统安全。

  5、及时升级KV杀毒软件病毒库,上网时确保打开“网页监控”、“邮件监控”功能。

  建议企业级用户和网吧部署KV网络版杀毒软件,KV网络版具有全网统一升级,统一杀毒功能,可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。
发表于 2009-4-14 13:19:41 | 显示全部楼层
:) 谢谢
发表于 2009-5-6 11:21:22 | 显示全部楼层
有用,谢谢啦:lol
发表于 2009-5-6 17:31:31 | 显示全部楼层
感谢楼主分享,好东西。。。学习下::)
发表于 2009-5-10 22:54:49 | 显示全部楼层
很详细,谢谢楼主的分享
发表于 2009-5-20 17:23:56 | 显示全部楼层
好东西 学习学习
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

QQ|手机版|小黑屋|☆我要吧☆ ( 豫ICP备13016831号-1 )

GMT+8, 2024-11-23 20:07 , Processed in 0.102254 second(s), 23 queries .

Powered by abc369 X3.4

© 2001-2023 abc369.

快速回复 返回顶部 返回列表