瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 极其顽强的ndst32.exe病毒,如何杀?

1   1  /  1  页   跳转

极其顽强的ndst32.exe病毒,如何杀?

收藏
白鸥海客
头像
飘泊而立狮
  • 帖子:438
  • 注册: 2005-01-17
  • 来自:
发表于: 2005-11-12 12:46 | 只看楼主 短消息 资料
字号: 1楼

极其顽强的ndst32.exe病毒,如何杀?

网内有台电脑感染了不知名病毒,其他电脑就同时被感染了。WINXP SP1 症状如下:WORD、EXCEL办公软件无法使用;IE地址栏输入网址无反映,无法打开下拉菜单(从卡卡助手能打开论坛,在QQ里的网址点击后也可以打开);任务管理器打开后一闪就不见了。WIN2000 可能也受到感染,但不出现上面的情况。

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ndst32.exe
C:\WINDOWS\System32\ctfmon.exe
F:\工具\HijackThis1991\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\Program Files\Rising\KaKaToolBar\kakatool.dll
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKLM\\RunServices: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - 启动项HKCU\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\RunServices: [Compaq Service Drivers] ndst32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - 浏览器额外的按钮: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn (file missing)
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O20 - AppInit_DLLs: APIHookDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: Symantec AntiVirus - Symantec Corporation - C:\Program F
最后编辑2005-11-12 15:02:05
分享到:
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-11-12 12:51 | 短消息 资料
字号: 2楼

O23 - NT 服务: Symantec AntiVirus - Symantec Corporation - C:\Program F  ?????这个怎么只有一半?>
gototop
 
神无
头像
锋芒艾服狮
  • 帖子:1938
  • 注册: 2005-06-16
  • 来自:
发表于: 2005-11-12 12:58 | 短消息 资料
字号: 3楼

C:\WINDOWS\System32\ndst32.exe
O4 - 启动项HKLM\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKLM\\RunServices: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\RunServices: [Compaq Service Drivers] ndst32.exe
这个东西是什么,怎么有那么多启动项
gototop
 
白鸥海客
头像
飘泊而立狮
  • 帖子:438
  • 注册: 2005-01-17
  • 来自:
发表于: 2005-11-12 13:04 | 只看楼主 短消息 资料
字号: 4楼

ndst32就是那个该死的病毒衍生出来的啊~~~可我实在找不到源头在哪
gototop
 
xiaoyuwzc21
头像
初生襁褓狮
  • 帖子:656
  • 注册: 2005-06-19
  • 来自:
发表于: 2005-11-12 13:05 | 短消息 资料
字号: 5楼

今日更新内容:
  增加158种  木马、病毒查杀。

离线升级包下载地址:

下载地址一: http://www.sf120.net/soft/gx.rar
下载地址二:http://www.mmsk.cn/soft/gx.rar


版本下载地址:

安装版:http://www.sf120.net/soft/setup.exe
            http://www.mmsk.cn/soft/setup.exe


绿色版:http://www.sf120.net/soft/setup.rar




木马杀客下载地址:www.sf120.net/soft/setup.exe
欢迎上报病毒木马:soft@hdwl.cn,soft@mmsk.cn
gototop
 
白鸥海客
头像
飘泊而立狮
  • 帖子:438
  • 注册: 2005-01-17
  • 来自:
发表于: 2005-11-12 13:06 | 只看楼主 短消息 资料
字号: 6楼

只有一半的,可能是漏掉了吧。不过那是最后一个了的,应该没问题的吧
gototop
 
白鸥海客
头像
飘泊而立狮
  • 帖子:438
  • 注册: 2005-01-17
  • 来自:
发表于: 2005-11-12 13:20 | 只看楼主 短消息 资料
字号: 7楼

木马克星也查不出
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2005-11-12 15:02 | 短消息 资料
字号: 8楼

C:\WINDOWS\System32\ndst32.exe这个东西可能就是源头~~~

O4 - 启动项HKLM\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKLM\\RunServices: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\Run: [Compaq Service Drivers] ndst32.exe
O4 - 启动项HKCU\\RunServices: [Compaq Service Drivers] ndst32.exe
按下面的操作下试试
断网,

清空临时文件夹
清空临时文件夹的方法:
IE》属性》删除文件(包括脱机文件)》确定

在任务管理器中结束这个进程C:\WINDOWS\System32\ndst32.exe

展开注册表至这几项
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNServices
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUN
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUNServices
分别删除右边的Compaq Service Drivers 项
删除这个文件C:\WINDOWS\System32\ndst32.exe
用ndst32作为搜索项全盘搜索下,在注册表中也搜索一下(看看还能 不能再搜出什么了)
(注意如果你要删除注册表中没有把握的项请先将该项导出,或备份注册表后再操作,以免出错!)
看看有没有用~~~
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT