当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > ntfs.dll病毒ntfs.dll木马清除

安全基础
网络协议分析软件的编写
一个SYN攻击的源程序
彻底清查带毒的Cookie
解析cookie欺骗实现过程及具体应用
从芯认识 浅谈宽带路由器处理芯片
搜索引擎也另类 想搜啥就搜啥
命令提示符恢复本地安全策略小技巧
根据PID查杀木马病毒的适用小方法
网络管理员日志之硬件修理篇
著名黑客Kevin Mitnick谈网络安全
Windows XP 常见的进程列表
网络攻击概览
爱机中毒自救六招
引起网络广播风暴的几种原因
黑客入侵36计
局域网测试及故障排除经验谈
不可忽视的BIOS参数设置
微软IE浏览器非常规修改全攻略(上)
微软IE浏览器非常规修改全攻略(下)
网管十招

安全基础 中的 ntfs.dll病毒ntfs.dll木马清除


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 216 ::
收藏到网摘: n/a

  ntfs.dll病毒ntfs.dll木马中毒症状

  开机依然不显示桌面,依然要点CTRL+ALT+DELETE的任务管理器 新建任务 c://Documents and Settings 才能显示桌面,但会弹出一个对话框

  Windows 找不到文件 ’/indlist,:504:788,C:Documents’。请确定文件名是否正确后,再试一次。要搜索文件,请单击[开始]按钮,然后单击“搜索”。

  另外每次重起再开机,金山毒霸杀毒都会出现一个恶意软件: 异常的系统文件userinit.exe 发现安装。怎么也移除不了,而且也无法修复这个文件。

  再打开SRENGPS。EXE 弹出对话框:

  警告!注册表值 UserInit 被修改为非正常值.

  (对于 Windows 2000,默认值类似于:"C:WINNTsystem32Userinit.exe,".对于Windows XP 或更高版本,默认值类似于:"C:WINDOWSsystem32Userinit.exe,").请检查你的系统中可能存在的计算机病毒.

  请问是否用 System Repair Engineer 自动修复?

  每次我都点是,但每次重起以后再开还是会有.

  另外我把网镖安全开到最高每次开机都有会弹出:

  成功拦截1个从220.165.29.64接收ICMP数据包,对应本机地址为222.215.37.28

  ntfs.dll病毒ntfs.dll木马病毒分析

  ntfs.dll病毒是机器狗病毒的一种

  病毒名称:Trojan/Agent.pgz

  中 文 名:机器狗

  病毒类型:木马

  危害等级:★★★

  影响平台:Win 9X/ME/NT/2000/XP/2003

  病毒运行特征:

  “机器狗”病毒运行后,会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。

  该病毒还会随着ARP病毒传播,因此对局域网杀伤性极大。针对此病毒,江民科技反病毒中心已经及时升级了病毒库,只要将KV杀毒软件升级至最新版本,即可有效防范查杀此病毒。

  ntfs.dll病毒ntfs.dll木马机器狗解决方案

 

  1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播,因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业,采用双向绑定策略,在交换机或路由器上绑定好全网的IP-MAC地址,在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒,该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。

  如果不具备双向绑定的条件,可以采用划分VLAN 的方法,来隔离网络的不同区域,这样可以把ARP病毒的危害降低到最小。

  2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看,发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的,因此打好补丁十分关键。

  MS06-014 中文版系统补丁下载地址:

  http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx

  MS06-014 英文版系统补丁下载地址:

  http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx

  MS07-017 中文版系统补丁下载地址:

  http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx

  MS07-017 英文版系统补丁下载地址:

  http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

  3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中,还利用时下最为流行的应用软件漏洞进行挂马传播,例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛,这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。

  4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要,由于“机器狗”病毒还会利用U盘传播,因此如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。

  关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,保护计算机系统安全。

  5、及时升级KV杀毒软件病毒库,上网时确保打开“网页监控”、“邮件监控”功能。

  建议企业级用户和网吧部署KV网络版杀毒软件,KV网络版具有全网统一升级,统一杀毒功能,可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。