NTDETECT.EXE病毒 ntdetect failed

今天一位同事的笔记本中了病毒,所有的分区都无法打开。只看见每个分区下面都有Autorun.inf和NTDETECT.EXE这两个隐藏文件。用过瑞星、AVAST、MCAFEE都没查出来有病毒。

用HijackThis没有找出任何可疑的地方。于是尝试在安全模式下面删除这些文件。

谁知道在安全模式下面删除这些文件之后,立马又有了。检查进程也没发现什么可疑进程。当下我便怀疑该病毒是使用消息钩子对Explorer.exe进行监控,每当打开资源管理器便进行感染。可是用GMER也没看出什么特别的东西出来(也许是因为我还不会用GMER吧-_-!!)。无奈之下只好重新分析。

在DOS环境下进行删除操作之后,会发现这些文件不会再次出现,由此可推,病毒应该是采用Explorer注入或者监视

在DOS环境下删除后,打开资源管理器,发现分区下面再次出现了Autorun.inf和NTDETECT.EXE。验证了病毒应该是劫持了Explorer.EXE。

任何病毒都会有主体,所有动作都是由这个主体程序触发执行的。撇去牛角尖,从注册表入手。

查找NTDETECT.EXE,结果发现了很多键值被修改了。主要的修改如下:

Windows Registry Editor Version 5.00

C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLLNTDETECT.exe e:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache]
"C:\NTDETECT.exe"="explorer Microsoft "

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{4d5a53e2-4d38-11db-927f-806d 6172696f}Shell播放command]
@="E:\NTDETECT.exe e:"

这里发现了一个比较例外的值"C:\NTDETECT.exe"="explorer Microsoft",我想也许这个键值会告诉我们一些事情吧。

查找"explorer Microsoft ",结果发现了另外一个意外的信息:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache]
"C:\WINDOWS\system32\shellexplore.exe"="explorer Microsoft "

在我记忆中,在System32里面好像没有Shellexplore.exe这个可执行程序的。打开System32文件夹,发现其中果然有一个隐藏得文件:Shellexplore.exe。然而,这个程序是如何劫持Explorer.exe的呢?我想注册表可能可以告诉我更多东西。

继续查找Shellexplore.exe,结果发现了他控制Explorer的手段了
[HKEY_CLASSES_ROOTDriveshellopencommand]
@="C:\WINDOWS\system32\shellexplore.exe %1"

在[HKEY_CLASSES_ROOTDriveshell]这个项的子项应该是没有[open]这个子项的,Shellexplore.exe通过在这里建立一个[OpenCommand]的子项,并把键值修改为shellexplore.exe,即用shellexplore.exe调用打开。因此,在我们利用资源管理器打开磁盘分区的时候,shellexplore.exe便开始感染所有分区。这也是为什么我们在安全模式下也无法删除NTDETECT.EXE的原因了。

分析完毕,现在就来设定清除病毒的步骤和程序吧。

1 进入安全模式
2 关闭所有浏览器、资源管理器、我的电脑(所有会调用Explorer.exe的程序都关掉)
3 打开注册表编辑器regedit.exe
4 打开CMD,进入命令行模式(即通常说的DOS模式)
5 删除各分区下的Autorun.inf和NTDETECT.EXE这两个隐藏文件。怎么删除??
c:attrib autorun.inf -s -h -r-a
c:attrib NTDETECT.EXE -s -h-r -a
c:del autorun.inf
c:del NTDETECT.EXE
前面两个是去除文件的系统、隐藏和只读属性,后面就不要我说了
6 在注册表编辑器里查找所有带有NTDETECT.EXE的项,删除
7 查找所有带explorer Microsoft的值,删除
NTDETECT.EXE病毒 ntdetect failed
8 查找所有带Shellexplore.exe的值,删除
9 在命令行模式下输入指令:shutdown -r 重新启动计算机

重新启动后,发现病毒的症状消失了。所有分区也可以正常打开了。资源管理器和我的电脑打开的速度也正常了。

  

爱华网本文地址 » http://www.413yy.cn/a/25101014/227630.html

更多阅读

WinHelp32.exe等病毒清除解决方案 如何清除文件exe病毒

病毒症状 该样本是使用“VC”编写的木马下载器,长度为“40,960字节”,病毒扩展名为“exe”,主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播,病毒主要目的为下载新病毒并运行。  用户中毒后,会出现系统运行缓慢、网络

清除CDAC11BA.EXE,保护你的特别版软件 autoit3.exe病毒 清除

安装了一些诸如Turbo Tax、朗文2003电子词典、某些版本的AutoCad(例如Auto CAD 2004)、3Ds MAX6等软件后, 你打开“添加/删除程序”,看是不是到多了一个叫SafeCast Shared Components的软件;你打开任务管理器, 看是不是到多了一个叫“CDAC

U盘病毒的清理方法及RECYCLER.EXE病毒的手动查杀方 病毒查杀

U盘病毒的清理方法及RECYCLER.EXE病毒的手动查杀方法最近,很多朋友发现,使用U盘时遇到双击打不开的情况,很多朋友就以为自己的U盘坏了,其实我们只要稍加细心就会发现问题所在,下面我们就来一起看看,问题究竟在什么地方。我们这次不双击U

SysAnti.exe和autorun.inf病毒的查杀 autorun.inf专杀工具

SysAnti.exe发作后,无法打开任何杀毒软件,而且直接删除SysAnti.exe病毒文件也无法删除(删了又会出现),因为病毒会自动检测运行项里的关键字,如在IE、记事本或Word中输入或含有SysAnti.exe杀毒、专杀工具等关键字和运行电脑里面的杀毒软件

声明:《NTDETECT.EXE病毒 ntdetect failed》为网友旧梦滥心分享!如侵犯到您的合法权益请联系我们删除