Home » Antivirus » Tips and Trik » TKJ » NTSD.EXE
By HABBIL TKJ Citra Blog Updated at: Rabu, 22 Februari 2012 | 2/22/2012 02:29:00 PM

PC Anda mungkin terinfeksi. Kehadiran file bernama NTSD.EXE merupakan tanda kemungkinan infeksi.
Simbolik Debugger untuk Windows – ntsd.exe – ntsd
ntsd.exe adalah proses yang terdaftar sebagai simbolik Debugger untuk Windows. Seperti file, yang biasanya berakhir menjadi spyware atau virus saat mendarat di PC kita sering berbeda dari file asli yang bukan merupakan ancaman, karena mereka berada di direktori lain dan memiliki tanda tangan digital yang berbeda. Untuk menentukan apakah ini merupakan ancaman nyata atau tidak, untuk melakukan peninjauan dengan alat deteksi. ANT termasuk alat antispyware dan mampu mendeteksi dan mengoreksi ancaman ini.
Anda harus segera memeriksa PC Anda untuk memastikan tidak terinfeksi. Versi gratis Prevx akan memindai PC Anda dalam waktu kurang dari dua menit dan memeriksa jutaan infeksi spyware dan malware termasuk NTSD.EXE. Jangan menaruh data rahasia Anda, atau identitas Anda beresiko, memeriksa PC anda sekarang dengan Prevx.
Prilaku File
NTSD.EXE telah terlihat untuk melakukan perilaku sebagai berikut:
  • Menyalin file
  • Proses ini adalah file infector yang memodifikasi file-file program untuk menyertakan salinan yang terinfeksi
  • Proses ini Menghapus Proses Lain Dari Disk
  • Melaksanakan sebuah Proses
  • File autoexec.bat kelihatan di isi
  • Mendatangkan perangkat lunak yang tidak dikenal dan berbahaya selama eksekusi
  • Membuka pop up browser
  • Menulis ke Memori Virtual lain Proses’s (Proses Pembajakan)
  • Masuk ke Register File Dynamic Link  Liberary (File DLL)
  • Proses ini menciptakan proses-proses lain pada disk
NTSD.EXE telah menjadi subyek dari perilaku sebagai berikut:
  • Dieksekusi sebagai sebuah Proses
  • Dibuat sebagai suatu proses pada disk
  • Memasukkan kode ke dalam ruang Memori Virtual oleh program lain
  • Memberhentikan sebuah proses
  • Terdaftar sebagai File Dynamic Link Liberary
  • Menghapus proses dari disk
Nama file yang sebenarnya
NTSD.EXE akan selalu menggunakan nama file :
  • 98452895.EXE
  • 94117139.DAT
  • 16535586.DAT
Besar File
Besar file rata-rata :
  • 178,176 bytes
  • 32,256 bytes
  • 52,224 bytes
  • 38,400 bytes
  • 43,008 bytes
  • 35,328 bytes
Aktivitas File
Salah satu file atau lebih dengan nama NTSD.EXE akan dibuat, mendelete, mengcopy atau memindahkan file dan folder seperti dibawah ini :
  • Membuat file di  c:\windows\system32\magnify.ivr
  • Mengcopy file di c :\windows\system32\magnify.ivr ke c:\windows\system32\magnify.exe
  • Mendelete file di c:\windows\system32\magnify.ivr
  • Membuat file di c:\windows\system32\narrator.ivr
  • Mengcopy file di c:\windows\system32\narrator.ivr ke  c:\windows\system32\narrator.exe
  • Mendeletes c:\windows\system32\narrator.ivr
  • Membuat File di c:\windows\system32\osk.ivr
  • Mengcopy file di c:\windows\system32\osk.ivr ke  c:\windows\system32\osk.exe
  • Mendelete file di c:\windows\system32\osk.ivr
  • Membuat file di c:\windows\system32\utilman.ivr
  • Mengcopy file di c:\windows\system32\utilman.ivr ke c:\windows\system32\utilman.exe
  • Mendelete file di c:\windows\system32\utilman.ivr
  • Membuat file di c:\program files\outlook express\wab.ivr
  • Mengcopy file di c:\program files\outlook express\wab.ivr ke c:\program files\outlook express\wab.exe
  • Mendelete file di  c:\program files\outlook express\wab.ivr
  • Membuat file di  c:\program files\windows media player\wmplayer.ivr
  • Mengcopy file di c:\program files\windows media player\wmplayer.ivr ke c:\program files\windows media player\wmplayer.exe
  • Mendelete file di  c:\program files\windows media player\wmplayer.ivr
  • Membuat file di c:\windows\system32\notepad.ivr
  • Mengcopy file di c:\windows\system32\notepad.ivr ke c:\windows\system32\notepad.exe
  • Mendelete file di  c:\windows\system32\notepad.ivr
  • Membuat file di c:\windows\system32\mobsync.ivr
  • Mengcopy file di Copies filec:\windows\system32\mobsync.ivr ke c:\windows\system32\mobsync.exe
  • Mendelete file di  c:\windows\system32\mobsync.ivr
  • Membuat file di  c:\windows\system32\tourstart.ivr
  • Mengcopy file di c:\windows\system32\tourstart.ivr ke c:\windows\system32\tourstart.exe
  • Mendelete file di  c:\windows\system32\tourstart.ivr
  • Membuat file di c:\windows\system32\rcimlby.ivr
  • Mengcopy file di c:\windows\system32\rcimlby.ivr ke c:\windows\system32\rcimlby.exe
  • Mendelete file di c:\windows\system32\rcimlby.ivr
  • Mendelete file di c:\documents and settings\jim\cookies\index.dat
  • Mendelete file di c:\documents and settings\jim\cookies\jim@adobe[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@auto.sea
  • Mendelete file di c:\documents and settings\jim\cookies\jim@c.msn
  • Mendelete file di c:\documents and settings\jim\cookies\jim@doubleclick[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@download.moz
  • Mendelete file di c:\documents and settings\jim\cookies\jim@genuine[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@google[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@live[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@m.web
  • Mendelete file di c:\documents and settings\jim\cookies\jim@microsoftwga.112
  • Mendelete file di c:\documents and settings\jim\cookies\jim@microsoft[2].txt
  •  Mendelete file di c:\documents and settings\jim\cookies\jim@mozilla[2].txt
  •  Mendelete file di c:\documents and settings\jim\cookies\jim@msn[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@search.liv
  • Mendelete file di c:\documents and settings\jim\cookies\jim@search.msn
  • Mendelete file di c:\documents and settings\jim\cookies\jim@snapfiles[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@sourceforge[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@tt11.ado
  • Mendelete file di c:\documents and settings\jim\cookies\jim@winkeyfinder[2].txt
Aktivasi Registry
Satu atau lebih file dengan nama NTSD.EXE akan dibuat atau di modifikasi didalam registry registry seperti yang ditunjukkan dibawah ini :
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1609 value:
Menggunakan software Autorun dari sysinternal.com
  1. Download aplikasi sysinternal  (sysinternal ini sudah diambil alih oleh microsoft disini
  2. Jalankan program autoruns nya.
  3. Setelah dijalankan programnya cari TAB Image Hijacks terus pilih TAB itu
  4. selanjutnya hapus semua entry yang ada di TAB Image Hijacks itu KECUALI : “c:\winnt\system32\ntsd.exe” di Image Path nya… (ingat yang value nya “ntsd.exe” jangan dihapus)

Jika Sudah Membaca di KLIK yaa :

Title Post: NTSD.EXE
Rating: 100% based on 99998 ratings. 5 user reviews.
Author: HABBIL TKJ
Terimakasih sudah berkunjung di blog Habbil TKJ 1™, Jika ada kritik dan saran silahkan tinggalkan komentar.


Artikel Menarik Lainya :

Posting Komentar




Butuh Bantuan Live? Silakan Hub Saya Via Facebook !

 
. Habbil TKJ 1™: NTSD.EXE - All Rights Reserved
Template by : Citra Blog | Didukung oleh : Allah SWT | Blogger | Google