解决NTdhcp.exe木马关闭杀软的一个办法 bbs.ikaka.com

baohe - 2005-9-10 18:31:00

Trojan-PSW.Win32.QQRob.16.d（卡巴斯基命名；病毒进程：NTDhcp.exe）。
这个木马感染系统后，系统像死掉一样，运行任何程序均无响应。被逼无奈，只好重启系统。
重启后，杀软不能启动运行（事实上，这个木马导致多款杀软不能启动运行。
今天，找到了解决这个问题的一个比较另类的（比较简单的）办法。请看下面4个附图：
注：哪位想要这个样本，用以测试其它杀软，请通过悄悄话留下您的邮箱。
图1。
感染系统重启后，卡巴斯基不能运行了

附件: 1558472005910183128.jpg

baohe - 2005-9-10 18:33:00

图2。

原来“机关”在这里——

附件: 1558472005910183308.jpg

baohe - 2005-9-10 18:34:00

图3。

重启系统后，问题解决了。

附件: 1558472005910183431.JPG

baohe - 2005-9-10 18:35:00

图4。

确实杀掉了。

附件: 1558472005910183551.JPG

命运里の金色 - 2005-9-10 18:38:00

感谢斑竹

真命小虫 - 2005-9-10 18:41:00

baohe版主，如果您有条件请试试其它杀软能否用该方法解决无法启动自身的问题。
没样本上传真麻烦，我不在家，学校装的是瑞星2004，我无法测试

baohe - 2005-9-10 18:45:00

引用:

【真命小虫的贴子】baohe版主，如果您有条件请试试其它杀软能否用该方法解决无法启动自身的问题。
没样本上传真麻烦，我不在家，学校装的是瑞星2004，我无法测试
...........................

呵呵，遗憾！我的系统中只有卡巴。其他朋友们试试自己的杀软吧。这是个老马。多数杀软都能杀它。主要问题是：不慎中招后，怎么让杀软重新加载运行。

命运里の金色 - 2005-9-10 18:46:00

斑竹是通过TPF监控,在通过注册表比较看出来的,如果斑竹没装别的杀软也看不出来的

baohe - 2005-9-10 18:52:00

引用:

【命运里の金色的贴子】斑竹是通过TPF监控,在通过注册表比较看出来的,如果斑竹没装别的杀软也看不出来的
...........................

不是啊！感染系统后，想查看ACTIVITY MONITOR的记录都没响应。重启之前，什么侦察手段都派不上用场。
我是根据第一个图的提示，蒙到那个注册表项改动的。

真命小虫 - 2005-9-10 18:55:00

谢谢baohe回复！
我没运行过这个病毒，想问问仅病毒进程能否启动杀软？

建议，版主设法提供样本给各位网友，然后置顶该帖子，改个名字，号召大家一起测试如何通过修改注册表打开自己杀软。

命运里の金色 - 2005-9-10 18:59:00

引用:

【baohe的贴子】

不是啊！感染系统后，想查看ACTIVITY MONITOR的记录都没响应。重启之前，什么侦察手段都派不上用场。
我是根据第一个图的提示，蒙到那个注册表项改动的。
...........................

果然还是要靠经验,果然是偶的偶像

真命小虫 - 2005-9-10 19:01:00

不能上传病毒样本惨那！

不然我这边基本上可以随便运行病毒，这边机器有硬盘还原卡

hellokiddy - 2005-9-10 21:06:00

赶紧收藏~

我是天才陈叙 - 2005-9-10 21:24:00

这个木马下载时卡巴不报吗？

baohe - 2005-9-10 21:31:00

引用:

【我是天才陈叙的贴子】这个木马下载时卡巴不报吗？
...........................

当然报.
我是为一个网友解决问题时,特意关闭卡巴,感染系统后,观察到上述现象的.

laopang - 2005-9-10 22:11:00

呵呵，作个反汇编就能看到禁止反病毒软件的键值了

raulronaldo - 2005-9-10 22:11:00

其实只要看下计算机管理就可以了！~~~

香水蛋蛋 - 2005-9-10 22:20:00

引用:

【baohe的贴子】
当然报.
我是为一个网友解决问题时,特意关闭卡巴,感染系统后,观察到上述现象的.
...........................

有这么负责的斑竹，实在是让人太欣慰了

laopang - 2005-9-10 23:07:00

创建以下键值：
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"，"NTdhcp"="C:\WINDOWS\SYSTEM\NTdhcp.exe"
"HKLM\System\CurrentControlSet\Services\navapsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\RsRavMon""Start"="4"
"HKLM\System\CurrentControlSet\Services\RsCCenter""Start"="4"
"HKLM\System\CurrentControlSet\Services\kavsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KVSrvXP""Start"="4"
"HKLM\System\CurrentControlSet\Services\wscsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KPfwSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KWatchSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\SNDSrvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccProxy""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccEvtMgr""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccSetMgr""Start"="4"
"HKLM\System\CurrentControlSet\Services\SPBBCSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\Symantec Core LC""Start"="4"
"HKLM\System\CurrentControlSet\Services\NPFMntor""Start"="4"
"HKLM\System\CurrentControlSet\Services\MskService""Start"="4"
"HKLM\System\CurrentControlSet\Services\FireSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\McShield""Start"="4"
"HKLM\System\CurrentControlSet\Services\McTaskManager""Start"="4"
"HKLM\System\CurrentControlSet\Services\McAfeeFramework""Start"="4"

wengxq - 2005-9-11 3:39:00

哈哈!

附件: 578336200591133903.jpg

hellokiddy - 2005-9-11 9:28:00

我对注册表不是很熟悉．想请教斑竹和各位大虾
为什么把"HKLM\System\CurrentControlSet\Services\kavsvc""Start"="２"中的２改成４就不能运行卡巴呢，这个数字是什么意思呢？
我看了自己的那一项是３（如图），是否正常？谢谢

附件: 483382200591192842.JPG

kvirus - 2005-9-11 10:08:00

"HKLM\System\CurrentControlSet\Services\navapsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\RsRavMon""Start"="4"
"HKLM\System\CurrentControlSet\Services\RsCCenter""Start"="4"
"HKLM\System\CurrentControlSet\Services\kavsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KVSrvXP""Start"="4"
"HKLM\System\CurrentControlSet\Services\wscsvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KPfwSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\KWatchSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\SNDSrvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccProxy""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccEvtMgr""Start"="4"
"HKLM\System\CurrentControlSet\Services\ccSetMgr""Start"="4"
"HKLM\System\CurrentControlSet\Services\SPBBCSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\Symantec Core LC""Start"="4"
"HKLM\System\CurrentControlSet\Services\NPFMntor""Start"="4"
"HKLM\System\CurrentControlSet\Services\MskService""Start"="4"
"HKLM\System\CurrentControlSet\Services\FireSvc""Start"="4"
"HKLM\System\CurrentControlSet\Services\McShield""Start"="4"
"HKLM\System\CurrentControlSet\Services\McTaskManager""Start"="4"
"HKLM\System\CurrentControlSet\Services\McAfeeFramework""Start"="4"

基本上都在啦:-)

kakashi - 2005-9-11 11:18:00

为什么我和你们的都不一样?

我的是这样的.....

问题是我改成2了,重启后又变成4......

附件: 3459902005911111852.bmp

香水蛋蛋 - 2005-9-11 12:00:00

KIS2006
http://gd.down.chinaz.com/KK970/down/kis2006.exe

salaried - 2005-9-11 13:12:00

瑞星服务组件好象都被删掉了

baohe - 2005-9-11 13:54:00

引用:

【salaried的贴子】瑞星服务组件好象都被删掉了
...........................

没删。只是更改了注册表中的几个键值。卡巴被改的最少，仅仅一个。

谢横行 - 2005-9-25 10:51:00

搞不懂

※瘋狂あ使命※ - 2005-9-25 16:03:00

改怎么杀啊　　给我推荐个软件呀

飞鸿3344 - 2005-9-29 22:51:00

晕了，我也中了这玩意，杀掉它倒是挺容易，
问题是我十分信赖的Symantec AntiVirus竟然不报！
我手动查它Symantec AntiVirus竟然不认为它是病毒！我要晕倒了！
Symantec AntiVirus怎么连这老玩意都放过了？！

瑞星卡卡安全论坛