科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Ntsd.exe命令详解以及ntsd.exe病毒查杀过程

Ntsd.exe命令详解以及ntsd.exe病毒查杀过程

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Ntsd.exe是用来结束进程,从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。

作者:antidu 来源:antidu 2008年9月8日

关键字: ntsd ntsd.exe查杀 ntsd.exe专杀 ntsd.exe

  • 评论
  • 分享微博
  • 分享邮件

Ntsd.exe是用来结束进程,从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出,所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限,从而能杀掉大部分的进程(理论上只有System、SMSS.EXE和CSRSS.EXE三个进程不能结束,前两个是纯内核态的,最后那个是Win32子系统,ntsd本身需要它)。

Ntsd.exe的用法:

ntsd -c q -p PID
或者
ntsd -c q pn ImageName

 - c是表示执行debug命令,q表示执行结束后退出(quit),-p 表示后面紧跟着是你要结束的进程对应的PID,-pn 表示后面紧跟着是你要结束的进程名(process_name.exe 比如:QQ.exe,explorer.exe 等等,值得注意的是后缀名.exe是不可省略的,否则系统会告诉你“不支持此接口”)

查看pid及进程名,我们可以在任务管理器看,在特殊情况下,也可以使用tasklist命令.

比如我们要结束pid为3212的进程maxthon.exe
那么我们可以在命令提示符中输入:
ntsd -c q -p 3212

ntsd -c q -pn maxthon.exe

ntsd.exe病毒分析

一、 "小木马"变种cf (Win32.Troj.Small.cf) 威胁级别:★

该病毒会向硬盘分区起始扇区写入垃圾数据以破坏硬盘,硬盘数据被破坏后难以得到恢复。运行后,它在系统目录下释放(%documents and settings%\%user%\lsass.exe)等多个病毒文件,在非系统盘里添加autorun.inf的启动,另外,它还会运行tskill.exe和ntsd.exe命令,结束下列进程:kvmonxp.kxp,shstat.exe,ravmon.exe和avp.exe。若受感染的电脑要恢复重要数据,建议应求助于专业数据恢复机构,不要试图自行恢复,以免造成不可挽回的损失。

二、“龌龊虫”变种jq (Worm.Warezov.jq) 威胁级别:★Worm.WuKill.a病毒

该病毒通过搜索受感染机器上的有效邮件地址,利用群发带毒邮件进行传播,而且会尝试下载新病毒变种。运行后,它会释放病毒文件(%SystemRoot%\system32\fzhtjvbhbv.exe), 并更新病毒变种的下载地址,执行下载和安装,释放(%SystemRoot%\tpup.exe和%SystemRoot%\tpup.dat)等多个新病毒变种文件,修改注册表实现开机自动运行。trojan.dl.vb.dze杀法 worm.wukill.a病毒清除

ntsd.exe解决方案

现象:
历史操作:每次开机时都会跳出,NTSD.EXE产生了错误,会被WINDOWS关闭。您需要重新启动程序。 正在创建错误日志。
一共有4个错误窗口。只有点确定
病毒已经被我杀掉了,这个该怎么办呢?

备注:

我的诊断报告:
各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2008-03-21 20:05:32
诊断平台: Microsoft Windows 2000 Service Pack 4
IE版本: Internet Explorer V6.0.2800.1106 Build:62800.1106
计算机物理内存:511.48MB - 当前可用内存:367.20MB

100 - 未知 - Process: stormliv.exe [暴风影音媒体控制中心] - C:\Program Files\StormII\stormliv.exe
O2 - 未知 - BHO: (ThunderAtOnce Class) - [迅雷浏览器高级特性支持模块] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll
O8 - 未知 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\getallurl.htm
O16 - 未知 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - 未知 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA) - https://img.alipay.com/download/1101/aliedit.cab
O23 - 未知 - Service: ccosm [Contrl Center of Storm Media] - C:\Program Files\StormII\stormliv.exe /asservice - (running)
O23 - 未知 - Service: SLService [SmartLinkService] - slserv.exe - (running)

=======================================

100 - 安全 - Process: smss.exe [该进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINNT\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINNT\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512,512 Windows=On SubSystemType=Windows ServerDll=ba
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINNT\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINNT\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINNT\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost -k rpcss

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章