关于nttstat.exe的解决方法

File size: 57108 bytes
MD5: 9207fdee2f25a834d4e7151475fc7f45
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505
病毒名称:Trojan-Downloader.Win32.QQHelper.vn <Kaspersky命名>
本贴首发:http://lxp1984.5d6d.com

运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat
又是一个利用IFEO劫持的病毒.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
<Explorer.exe><%SYSTEMroot%\nttstat.exe>
如图一:

%WINDIR%\d6.exe释放病毒如下:
%Program Files%\Common Files\CPUSH\Uninst.exe
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\nsa1A.tmp

%WINDIR%\ft001.exe释放病毒如下:
%SYSTEMroot%\drivers\gpkcsw.sys
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1d.tmp

附sreng日志:
驱动程序
[gpkcsw / gpkcsw][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
==================================
浏览器加载项
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >

==================================
正在运行的进程
[PID: 432][C:\windows\Explorer.EXE]
      [C:\windows\KB9269O4.log]    [N/A, ]
[PID: 432][C:\windows\nttstat.exe]    [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe]
[PID: 1076][C:\windows\system32\RUNDLL32.exe]
      [C:\windows\system32\hydlvr.dll]

解决方法:

1.开始---运行---regedit---依次展开:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
删除:
<Explorer.exe>

2.运行ICESWORD---设置---禁止进线程创建---中止病毒进程
%WINDIR%\d6.exe

3.使用ICESWORD---设置---禁止进线程创建---强制卸载被插入进程Explorer.EXE<如图二>及RUNDLL32.exe
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll

4.运行SRENG---启动项目---服务---驱动程序---删除服务
[gpkcsw / gpkcsw][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

5.关闭所有浏览窗口以及一些不必要的程序
运行SREng2,使用：系统修复－－浏览器加载项－－选中以下的项删除
C:\Program Files\Common Files\CPUSH\cpush0.dll

6.使用ICESWORD---文件---删除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\删除文件夹
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\清空文件夹
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

如有错误,欢迎指正!
电脑软硬件应用网编辑注解：上文提到的软件均可到down.45it.com下载。

搜索

关于nttstat.exe的解决方法