笨到极点
[新手]
我的电脑是不是中病毒了?该怎么解决?
10分
回答:6 浏览:442 提问时间:2007-04-09 17:42
最近使用电脑时,每当我打开一个IE页面,甚至是在"我的电脑"中打开某个文件夹时总出现一个小页面,显示以下内容:
加载 C:\windows\Downloaded program Files\864550\NTDLL32.dll时出错 拒绝访问
我已经在电脑里安装了瑞星,而且经常升级,最近每次查毒都能杀出三四个,瑞星显示"重新启动计算机后删除".可是每次重启之后再查,病毒又出来了,我怀疑自己的电脑可能是中毒了.不知道用什么办法可以删除?
加载 C:\windows\Downloaded program Files\864550\NTDLL32.dll时出错 拒绝访问
我已经在电脑里安装了瑞星,而且经常升级,最近每次查毒都能杀出三四个,瑞星显示"重新启动计算机后删除".可是每次重启之后再查,病毒又出来了,我怀疑自己的电脑可能是中毒了.不知道用什么办法可以删除?
最佳答案
这是中了恶意木马程序
可以在爱问的共享资料中下载:
木马克星,可在线升级的免费杀木马软件.解压后,运行文件夹中的“注册.reg”文件,
导入注册表,即可使用
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1372222
可以在爱问的共享资料中下载:
木马查杀工具-杀马Defendio
实时防护、全面杀除超过110,000种木马/间谍/蠕虫/广告/恶意软件,包括内存、注册表、网络和文件扫描,包括文件系统、系统进程、系统内存等系统实时防护,支持NTFS数据流、Zip/GZip/Tar/Rar/Cab/Jar等压缩格式格式、Zip/Cab/RAR生成的可执行自解压格式、CHM(压缩帮助文件)、邮件(EML)和邮箱(Outlook/Foxmail)等。
下载以后,解压缩,运行文件夹中的defendio就可以了.可在线升级,免费的木马查杀工具.
地址是:
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1435895
然后,可以安装windows清理助手.
可以清理各种恶意程序.流氓软件,木马等.
爱问共享资料下载地址:
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1430434
官方网站地址:
http://www.arswp.com/
对系统进行扫描一下.
可以在爱问的共享资料中下载:
木马克星,可在线升级的免费杀木马软件.解压后,运行文件夹中的“注册.reg”文件,
导入注册表,即可使用
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1372222
可以在爱问的共享资料中下载:
木马查杀工具-杀马Defendio
实时防护、全面杀除超过110,000种木马/间谍/蠕虫/广告/恶意软件,包括内存、注册表、网络和文件扫描,包括文件系统、系统进程、系统内存等系统实时防护,支持NTFS数据流、Zip/GZip/Tar/Rar/Cab/Jar等压缩格式格式、Zip/Cab/RAR生成的可执行自解压格式、CHM(压缩帮助文件)、邮件(EML)和邮箱(Outlook/Foxmail)等。
下载以后,解压缩,运行文件夹中的defendio就可以了.可在线升级,免费的木马查杀工具.
地址是:
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1435895
然后,可以安装windows清理助手.
可以清理各种恶意程序.流氓软件,木马等.
爱问共享资料下载地址:
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1430434
官方网站地址:
http://www.arswp.com/
对系统进行扫描一下.
回答:2007-04-11 17:40
提问者对答案的评价:
前面几位的回答多半不起作用,在偶要绝望的时候...天上掉下个正确答案!哈哈,真是感激不尽啊.问题已经解除了,万分感谢.
你好
这是一种木马病毒瑞星起不了作用
Symantec和瑞星老是报一个NTdll32.dll是木马病毒就是干不掉。到现场一看,原来是瑞星死缠着这个病毒不放,把CPU和内存都耗尽了,当然动不了了。客户还反应卡巴斯基都干不掉
下面是从别处找到的资料。然后是我自己的做法。
病毒类型:W32.Fujacks!html Win32.troj.agent.s.412671
加载方法:利用驱动,临架于所有应用程序之上(包括COM)
windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向windows\system32.internet.exe,驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:先下载Rootkit Unhooker并安装,在本文下面有下载,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,在“SSDT Hooks Detector/Restorer”标签找到mspcidrv.sys所挂钩的服务解锁移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后到安全模式,进入 windows\system32\ 和windows\system32\drivers 删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
需要一个工具来清除Rootkit Unhooker [attach]912[/attach]
此工具下载地址:
http://arzhuo.3322.org//uploadfiles/rku3.20.130.388_88307.rar
主要有以下病毒文件:
%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys
用任务管理器将Rootkit Unhooker 打开后
然后就在“SSDT Hooks Detector/Restorer”(服务钩子探测器)标签下右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。(注意这个不能在安全模式下做好像总出出错信息。它找不到driver)
在标签“Hidden Processes Detector"(隐藏进程探测器)干掉相关进程
按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,
将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了,当然你还进入windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
**********************************
这是一些朋友询问我后,我给出的详细方法:
第一种方法: 用Rootkit Unhooker 杀
1. 进入 Windows任务管理器 (同时按ctrl+alt+del)在"进程"标签中找到并结束explorer进程,
在"应用程序"标签中点"新建任务”选中并运行你安装的Rootkit Unhooker程序
2.在 Rootkit Unhooker 程序界面下:标签: "SSDT Hooks Detector/Restorer" 的列 "Module" 找到值为"mspcidrv.sys"的所有行 右键 挂钩的服务解锁移出(UnHook Selected)仔细找找
3.在 Rootkit Unhooker 程序界面下:标签: "Hidden Processes Detector" 的列 "Process Name"找到所有有关 internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL 的 右键 "Kill Process"
4.打开注册表编辑器: 删除注册的服务(运行:regedit.exe):在这个下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到有关 internet.exe和 mspcidrv.sys的两项服务删了它,然后 找到 向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下面Appinit_Dlls 将其中的值去掉,然后在注册表中查找:所有有关internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL 的将他们删除.
5.主要有以下病毒文件:
%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys
但这时因为还有文件一调用这几个文件你可能在正常模式下删除不掉这几个文件,你可以在任务管理器中点关机选重启后在安全模式下删除.
6.OK,整个世界清净了
第二种方法: 在控制台下也可可以停用驱动和服务.
1.先安装控制台 :开始 运行: X:\i386\winnt32.exe /cmdcons X:为你的I386所在路径,按提示安装就行了,重启系统就可以看见多重系统引导菜单下多了一个 Microsoft Windows XP Recovery Console 控制台.进入控制台,输入数字选中你要进入的系统,输入管理员口令登录.
2.进入控制台,输入Listsvc命令后回车,在屏幕上会出现当前系统中已有的所有服务和驱动程序以及其状态说明。找到需要禁用的可疑服务或驱动程序,输入命令 disable 需要禁用的程序或服务,回车后屏幕上会显示出该服务以前的状态和完成后的状态;如果想雇用某个程序或服务,则需要键入Enable 需要禁用的程序或服务,回车后即可。控制台帮助命令:help可查看所有可使用的命令.
这是一种木马病毒瑞星起不了作用
Symantec和瑞星老是报一个NTdll32.dll是木马病毒就是干不掉。到现场一看,原来是瑞星死缠着这个病毒不放,把CPU和内存都耗尽了,当然动不了了。客户还反应卡巴斯基都干不掉
下面是从别处找到的资料。然后是我自己的做法。
病毒类型:W32.Fujacks!html Win32.troj.agent.s.412671
加载方法:利用驱动,临架于所有应用程序之上(包括COM)
windows\system32\Ntdll32.dll感染了Win32.troj.agent.s.412671病毒,却无法删除;就算在安全模式下进入注册表想删除相关项也不行。该木马病毒运行后,向系统添加一个名为Internet Connection Manager(管理Internet网络连接)的自启动系统服务(用于实现远程监控),源文件为windows\system32\internet.exe,并向ie浏览器添加了一个名为IEHELPER.DLL的插件,以上就是这个程序的最终目的。到此为止,这都只是个很普通的木马程序做的事情,剩下的就是它为了保证这两项能在系统中常驻所花的心思了,而它厉害的地方也在于此。
程序运行时,在windows\system32\driver文件夹下添加一个名为mspcidrv.sys的系统驱动,向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下添加NTDLL32.DLL项(注意,这个大有用处)
同时也向HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects下添加了该项(启动浏览器时自动激活NTDLL32.DLL)向HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加了两处启动项,分别都指向windows\system32.internet.exe,驱动mspcidrv.sys加载后会改写三个系统服务描述表项,分别为NtDeleteKey、NtDeleteValueKey、NtSetValueKey,并HOOK,使得针对那两个最终目的的注册表项的删除注册表项、删除注册表键值、更改注册表键值这三个操作就失去作用了,这是为了保护Internet Connection Manager系统服务和IEHELPER.DLL插件的注册表项不会被清除。而HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下的这个NTDLL32.DLL项,这就是实现内存恢复的关键。实际上这个是一个插入系统进程的DLL文件,在程序启动时,它就作为一个系统线程插入explorer进程,并对注册表项进行监视,它分别检测上述两个最终目的的两处注册表项,发现它们被删除就立刻重写, 这一招的作用是,在驱动还在的情况下,如果注册表项被删除(通过某些工具软件如:Rootkit Unhooker),就立刻重写,保证两个最终功能的完整是因为这个线程自己本身也是要靠驱动保护的,所以在驱动失效,而它自己的注册表项又已被清除的情况下,它也只能维持在驱动被清除之前的那一次进程插入,以保证下次开机时两个最终目的启动项的完整。
清除方法:先下载Rootkit Unhooker并安装,在本文下面有下载,进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,在“SSDT Hooks Detector/Restorer”标签找到mspcidrv.sys所挂钩的服务解锁移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。重启机器后到安全模式,进入 windows\system32\ 和windows\system32\drivers 删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
需要一个工具来清除Rootkit Unhooker [attach]912[/attach]
此工具下载地址:
http://arzhuo.3322.org//uploadfiles/rku3.20.130.388_88307.rar
主要有以下病毒文件:
%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys
用任务管理器将Rootkit Unhooker 打开后
然后就在“SSDT Hooks Detector/Restorer”(服务钩子探测器)标签下右侧发现了最后写着mspcidrv.sys的项一个一个都给unhook了。(注意这个不能在安全模式下做好像总出出错信息。它找不到driver)
在标签“Hidden Processes Detector"(隐藏进程探测器)干掉相关进程
按F8进入安全模式
在注册表中搜索相关的病毒文件项删除,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
进入Windows任务管理器(同时按ctrl+alt+del)结束explorer进程,
然后同样在任务管理器 “文件\新建任务”选中并运行你安装的Rootkit Unhooker程序,
将mspcidrv.sys所挂钩的服务移出,之后在任务管理器 “文件\新建任务”选中运行注册表编辑器regedit,
分别搜索并删除(现在可以删了)与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
重启机器后就OK了,当然你还进入windows\system32\删除病毒残留internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL文件。
**********************************
这是一些朋友询问我后,我给出的详细方法:
第一种方法: 用Rootkit Unhooker 杀
1. 进入 Windows任务管理器 (同时按ctrl+alt+del)在"进程"标签中找到并结束explorer进程,
在"应用程序"标签中点"新建任务”选中并运行你安装的Rootkit Unhooker程序
2.在 Rootkit Unhooker 程序界面下:标签: "SSDT Hooks Detector/Restorer" 的列 "Module" 找到值为"mspcidrv.sys"的所有行 右键 挂钩的服务解锁移出(UnHook Selected)仔细找找
3.在 Rootkit Unhooker 程序界面下:标签: "Hidden Processes Detector" 的列 "Process Name"找到所有有关 internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL 的 右键 "Kill Process"
4.打开注册表编辑器: 删除注册的服务(运行:regedit.exe):在这个下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到有关 internet.exe和 mspcidrv.sys的两项服务删了它,然后 找到 向HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下面Appinit_Dlls 将其中的值去掉,然后在注册表中查找:所有有关internet.exe 、mspcidrv.sys、Ntdll32.dll和IEHELPER.DLL 的将他们删除.
5.主要有以下病毒文件:
%systemroot%\system32\NTDLL32.DLL
%systemroot%\system32\IEhelper.dll
%systemroot%\system32\IEShell32.dll
%systemroot%\system32\internet.exe
%systemroot%\system32\drivers\mspcidrv.sys
但这时因为还有文件一调用这几个文件你可能在正常模式下删除不掉这几个文件,你可以在任务管理器中点关机选重启后在安全模式下删除.
6.OK,整个世界清净了
第二种方法: 在控制台下也可可以停用驱动和服务.
1.先安装控制台 :开始 运行: X:\i386\winnt32.exe /cmdcons X:为你的I386所在路径,按提示安装就行了,重启系统就可以看见多重系统引导菜单下多了一个 Microsoft Windows XP Recovery Console 控制台.进入控制台,输入数字选中你要进入的系统,输入管理员口令登录.
2.进入控制台,输入Listsvc命令后回车,在屏幕上会出现当前系统中已有的所有服务和驱动程序以及其状态说明。找到需要禁用的可疑服务或驱动程序,输入命令 disable 需要禁用的程序或服务,回车后屏幕上会显示出该服务以前的状态和完成后的状态;如果想雇用某个程序或服务,则需要键入Enable 需要禁用的程序或服务,回车后即可。控制台帮助命令:help可查看所有可使用的命令.
回答:2007-04-09 17:48
上面的说一大堆,都没说到重点,我曾经碰到这种事很事。这是因为你册除东西没册干净的原因。还有些遗留的垃圾。你可以去下载冰刃,保你搞定
回答:2007-04-09 18:04
首先加载 C:\windows\Downloaded program Files\864550\NTDLL32.dll时出错是NTDLL32.dll(可能是病毒文件)已经被删除了,但在你的启动项中有调用此文件的程序,.可以这样处理:
开始-->程序-->运行-->输入msconfig回车-->选启动-->将可疑的项目前的勾去掉,确定退出重新启动即可.如果无法确定是哪一个项,可以只保留杀毒软件和输入法(ctfmon.exe)的项目,其余的全部取消,然后挨个启用试验,直到把出错的项目找到,停止该项的使用即可.
其次,对于无法清除的病毒,建议你在安全模式下杀毒,对于无法清除的病毒文件,可以用冰刃(我的共享资料中有下载http://iask.sina.com.cn/h/user.php?uid=1095922450)的文件菜单,按照杀毒软件提示的病毒文件所在路径找到病毒文件,右键强制删除即可.
开始-->程序-->运行-->输入msconfig回车-->选启动-->将可疑的项目前的勾去掉,确定退出重新启动即可.如果无法确定是哪一个项,可以只保留杀毒软件和输入法(ctfmon.exe)的项目,其余的全部取消,然后挨个启用试验,直到把出错的项目找到,停止该项的使用即可.
其次,对于无法清除的病毒,建议你在安全模式下杀毒,对于无法清除的病毒文件,可以用冰刃(我的共享资料中有下载http://iask.sina.com.cn/h/user.php?uid=1095922450)的文件菜单,按照杀毒软件提示的病毒文件所在路径找到病毒文件,右键强制删除即可.
回答:2007-04-09 19:33
朋友你好!
这是你杀毒或卸载软件不干净造成的:
1.、开始——运行:msconfig回车——选择启动项——将NTDLL32.dll前面的勾子去掉——确定退出。(如无,可跳过,此时可不操作第三步)
2、开始——运行:regedit——编辑——查找:NTDLL32.dll——将找到的键值删除,按F3,继续查找、删除,直至全部删除
3、重启后,在弹出对话框中进行勾选并确定即可。
4.然后下载Windows 清理助手(纯绿色软件):
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1385615
彻底解决你所有的问题!
注:下载解压缩后,无须安装,打开软件,点击-- 立即清理 --重起即可。
这是你杀毒或卸载软件不干净造成的:
1.、开始——运行:msconfig回车——选择启动项——将NTDLL32.dll前面的勾子去掉——确定退出。(如无,可跳过,此时可不操作第三步)
2、开始——运行:regedit——编辑——查找:NTDLL32.dll——将找到的键值删除,按F3,继续查找、删除,直至全部删除
3、重启后,在弹出对话框中进行勾选并确定即可。
4.然后下载Windows 清理助手(纯绿色软件):
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1385615
彻底解决你所有的问题!
注:下载解压缩后,无须安装,打开软件,点击-- 立即清理 --重起即可。
回答:2007-04-09 19:38
共1条评论...
1.“加载 C:\windows\Downloaded program Files\864550\NTDLL32.dll时出错 拒绝访问”
病毒已经删除,加载病毒的启动项依然存在
安装奇虎360安全卫士
免费下载地址:
http://www.360safe.com/index.html
运行“查杀恶意软件”
运行“修复”、“系统全面诊断”
将非绿色的项目尽量删除
将“域名解析文件”下的项目全部删除
运行“启动项状态”
将无用的和可疑的项目删除
2.“最近每次查毒都能杀出三四个”
瑞星无法抵挡病毒入侵
你到这里看看杀毒软件评价和排名:
http://www.tmxy.net/sd.htm
就知道哪个好了
看中了哪个
也可以在这里下载
都是免费的、正版的、中文的、自动升级的
建议:
卡巴查毒、AVG查木马、360查恶意软件
病毒已经删除,加载病毒的启动项依然存在
安装奇虎360安全卫士
免费下载地址:
http://www.360safe.com/index.html
运行“查杀恶意软件”
运行“修复”、“系统全面诊断”
将非绿色的项目尽量删除
将“域名解析文件”下的项目全部删除
运行“启动项状态”
将无用的和可疑的项目删除
2.“最近每次查毒都能杀出三四个”
瑞星无法抵挡病毒入侵
你到这里看看杀毒软件评价和排名:
http://www.tmxy.net/sd.htm
就知道哪个好了
看中了哪个
也可以在这里下载
都是免费的、正版的、中文的、自动升级的
建议:
卡巴查毒、AVG查木马、360查恶意软件
回答:2007-04-09 19:41
修改:2007-04-09 19:48
修改:2007-04-09 19:48
共1条评论...
