病毒蠕蟲木馬問題 ----ntsd.exe 進程吃光記憶體
 

近來系統的工作管理員會出現一堆ntsd.exe的進程
每個進程會吃掉1mb的記憶體
而且不理它則會慢慢變多一直到系統記憶體吃光系統當機為止

1.確定是system32 底下的ntsd.exe 應該是布知名軟體去執行ntsd.exe
2.原本以為是镜像劫持技術的蠕蟲 但是 已經把註冊表裡鏡像的相關欄位底下砍光
重開機後結果是依樣
3.無法用工作管理員直接結速進程, 要用特殊指令或是加強版工作管理員才能關的掉ntsd.exe進程
4.如果對該進程用debug 有時會連帶關掉某些執行中進程
5.使用nod32 掃毒過

系統是win2000 server sp4 更新到2009/3/13
防毒nod32 3.0669

無防火牆

看看你是不是跟這位朋友一樣狀況
http://blog.xuite.net/goodjason77/itblog/17628910

應該是不一樣的 你可以看到我上面的動作已經排除鏡像劫持

現在是由工作管理員
找到兩個smss.exe
一個是winnt/system32/smss.exe
一個是winnt/system32/traffic/smss.exe

後者我去找竟然還是隱藏檔
把後者進程跟檔案都砍掉後 就沒再發生ntsd.exe出來了
(後者nod32 對她是沒反應)
不過在找的途中發覺打開隱藏檔的選項消失了
就去找serreg2 來恢復才出現打開隱藏檔的選項

(kavo的話是選了無效 我的情況是沒那選項)

線在系統看似正常

另外nod32 防毒竟然是排在服務完成啟動後最後才啟動
這不等於讓病毒程式先啟動嗎~_~

利用NTSD.EXE來關閉任何掃毒工具及軟體

使在是很令人頭痛連regedit都打不開

並且在開機的時候會出現NTSD的錯誤

unknown software exception的問題

並且系統目錄裡面會多了一些客人在裡面

msosmsfpfis32.dll,msosmsp2p32.dll,nicomsp2p32.dll等及

c:\winnt\system32\drivers中

msosmsfpfis32.sys,msosmsp2p32.sys,nicomsp2p32.sys等

其實可以使用時間來排序當發現是最近的建立修改時間的檔

案,建議把他刪了

透過遠端的方式連線到中毒的電腦查看機碼發現

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\windows下的Appinit_Dlls

出現奇怪的物件在裡面不要懷疑把他清光吧

另外重點來了

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options
裡面出現了一些熟悉軟體的執行檔一看之下傻眼
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\360rpt.exe
全都是一些掃毒軟體及工具的執行檔
趕快把他清除吧清除完畢之後重新開機就可以執行了
這時候在進行掃毒的動作就可以把剩下的餘毒清除乾淨了