|
||
|
Junior Member
  加入日期: Jun 2004
文章: 729
|
病毒蠕蟲木馬問題 ----ntsd.exe 進程吃光記憶體
近來系統的工作管理員會出現一堆ntsd.exe的進程
每個進程會吃掉1mb的記憶體 而且不理它則會慢慢變多一直到系統記憶體吃光系統當機為止 1.確定是system32 底下的ntsd.exe 應該是布知名軟體去執行ntsd.exe 2.原本以為是镜像劫持技術的蠕蟲 但是 已經把註冊表裡鏡像的相關欄位底下砍光 重開機後結果是依樣 3.無法用工作管理員直接結速進程, 要用特殊指令或是加強版工作管理員才能關的掉ntsd.exe進程 4.如果對該進程用debug 有時會連帶關掉某些執行中進程 5.使用nod32 掃毒過 系統是win2000 server sp4 更新到2009/3/13 防毒nod32 3.0669 無防火牆 此文章於 2009-03-13 03:14 AM 被 btposteen 編輯. |
|||||||
2009-03-13, 03:10 AM
#1
|
|
|
Junior Member
加入日期: Jul 2004 您的住址: Verthandi的懷裡
文章: 766
|
看看你是不是跟這位朋友一樣狀況
http://blog.xuite.net/goodjason77/itblog/17628910 |
||
|
2009-03-13, 05:27 PM
#2
|
|
|
Junior Member
加入日期: Jun 2004
文章: 729
|
應該是不一樣的 你可以看到我上面的動作已經排除鏡像劫持
現在是由工作管理員 找到兩個smss.exe 一個是winnt/system32/smss.exe 一個是winnt/system32/traffic/smss.exe 後者我去找竟然還是隱藏檔 把後者進程跟檔案都砍掉後 就沒再發生ntsd.exe出來了 (後者nod32 對她是沒反應) 不過在找的途中發覺打開隱藏檔的選項消失了 就去找serreg2 來恢復才出現打開隱藏檔的選項 (kavo的話是選了無效 我的情況是沒那選項) 線在系統看似正常 另外nod32 防毒竟然是排在服務完成啟動後最後才啟動 這不等於讓病毒程式先啟動嗎~_~ |
|
2009-03-14, 01:45 PM
#3
|
|
|
Major Member
 加入日期: Jan 2009
文章: 108
|
利用NTSD.EXE來關閉任何掃毒工具及軟體
使在是很令人頭痛連regedit都打不開 並且在開機的時候會出現NTSD的錯誤 unknown software exception的問題 並且系統目錄裡面會多了一些客人在裡面 msosmsfpfis32.dll,msosmsp2p32.dll,nicomsp2p32.dll等及 c:\winnt\system32\drivers中 msosmsfpfis32.sys,msosmsp2p32.sys,nicomsp2p32.sys等 其實可以使用時間來排序當發現是最近的建立修改時間的檔 案,建議把他刪了 透過遠端的方式連線到中毒的電腦查看機碼發現 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows下的Appinit_Dlls 出現奇怪的物件在裡面不要懷疑把他清光吧 另外重點來了 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 裡面出現了一些熟悉軟體的執行檔一看之下傻眼 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe 全都是一些掃毒軟體及工具的執行檔 趕快把他清除吧清除完畢之後重新開機就可以執行了 這時候在進行掃毒的動作就可以把剩下的餘毒清除乾淨了 |
|
2009-03-24, 03:22 PM
#4
|
|
