PC Anda mungkin terinfeksi. Kehadiran file bernama NTSD.EXE merupakan tanda kemungkinan infeksi.
Simbolik Debugger untuk Windows – ntsd.exe – ntsd
ntsd.exe adalah proses yang terdaftar
sebagai simbolik Debugger untuk Windows. Seperti file, yang biasanya
berakhir menjadi spyware atau virus saat mendarat di PC kita sering
berbeda dari file asli yang bukan merupakan ancaman, karena mereka
berada di direktori lain dan memiliki tanda tangan digital yang berbeda.
Untuk menentukan apakah ini merupakan ancaman nyata atau tidak, untuk
melakukan peninjauan dengan alat deteksi. ANT termasuk alat antispyware
dan mampu mendeteksi dan mengoreksi ancaman ini.
Anda harus segera memeriksa PC Anda untuk
memastikan tidak terinfeksi. Versi gratis Prevx akan memindai PC Anda
dalam waktu kurang dari dua menit dan memeriksa jutaan infeksi spyware
dan malware termasuk NTSD.EXE. Jangan menaruh data rahasia Anda, atau
identitas Anda beresiko, memeriksa PC anda sekarang dengan Prevx.
Prilaku FileNTSD.EXE telah terlihat untuk melakukan perilaku sebagai berikut:
- Menyalin file
- Proses ini adalah file infector yang memodifikasi file-file program untuk menyertakan salinan yang terinfeksi
- Proses ini Menghapus Proses Lain Dari Disk
- Melaksanakan sebuah Proses
- File autoexec.bat kelihatan di isi
- Mendatangkan perangkat lunak yang tidak dikenal dan berbahaya selama eksekusi
- Membuka pop up browser
- Menulis ke Memori Virtual lain Proses’s (Proses Pembajakan)
- Masuk ke Register File Dynamic Link Liberary (File DLL)
- Proses ini menciptakan proses-proses lain pada disk
- Dieksekusi sebagai sebuah Proses
- Dibuat sebagai suatu proses pada disk
- Memasukkan kode ke dalam ruang Memori Virtual oleh program lain
- Memberhentikan sebuah proses
- Terdaftar sebagai File Dynamic Link Liberary
- Menghapus proses dari disk
Nama file yang sebenarnya
NTSD.EXE akan selalu menggunakan nama file :- 98452895.EXE
- 94117139.DAT
- 16535586.DAT
Besar File
Besar file rata-rata :- 178,176 bytes
- 32,256 bytes
- 52,224 bytes
- 38,400 bytes
- 43,008 bytes
- 35,328 bytes
Aktivitas File
Salah satu file atau lebih dengan nama NTSD.EXE akan dibuat,
mendelete, mengcopy atau memindahkan file dan folder seperti dibawah ini
:- Membuat file di c:\windows\system32\magnify.ivr
- Mengcopy file di c :\windows\system32\magnify.ivr ke c:\windows\system32\magnify.exe
- Mendelete file di c:\windows\system32\magnify.ivr
- Membuat file di c:\windows\system32\narrator.ivr
- Mengcopy file di c:\windows\system32\narrator.ivr ke c:\windows\system32\narrator.exe
- Mendeletes c:\windows\system32\narrator.ivr
- Membuat File di c:\windows\system32\osk.ivr
- Mengcopy file di c:\windows\system32\osk.ivr ke c:\windows\system32\osk.exe
- Mendelete file di c:\windows\system32\osk.ivr
- Membuat file di c:\windows\system32\utilman.ivr
- Mengcopy file di c:\windows\system32\utilman.ivr ke c:\windows\system32\utilman.exe
- Mendelete file di c:\windows\system32\utilman.ivr
- Membuat file di c:\program files\outlook express\wab.ivr
- Mengcopy file di c:\program files\outlook express\wab.ivr ke c:\program files\outlook express\wab.exe
- Mendelete file di c:\program files\outlook express\wab.ivr
- Membuat file di c:\program files\windows media player\wmplayer.ivr
- Mengcopy file di c:\program files\windows media player\wmplayer.ivr ke c:\program files\windows media player\wmplayer.exe
- Mendelete file di c:\program files\windows media player\wmplayer.ivr
- Membuat file di c:\windows\system32\notepad.ivr
- Mengcopy file di c:\windows\system32\notepad.ivr ke c:\windows\system32\notepad.exe
- Mendelete file di c:\windows\system32\notepad.ivr
- Membuat file di c:\windows\system32\mobsync.ivr
- Mengcopy file di Copies filec:\windows\system32\mobsync.ivr ke c:\windows\system32\mobsync.exe
- Mendelete file di c:\windows\system32\mobsync.ivr
- Membuat file di c:\windows\system32\tourstart.ivr
- Mengcopy file di c:\windows\system32\tourstart.ivr ke c:\windows\system32\tourstart.exe
- Mendelete file di c:\windows\system32\tourstart.ivr
- Membuat file di c:\windows\system32\rcimlby.ivr
- Mengcopy file di c:\windows\system32\rcimlby.ivr ke c:\windows\system32\rcimlby.exe
- Mendelete file di c:\windows\system32\rcimlby.ivr
- Mendelete file di c:\documents and settings\jim\cookies\index.dat
- Mendelete file di c:\documents and settings\jim\cookies\jim@adobe[1].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@auto.sea
- Mendelete file di c:\documents and settings\jim\cookies\jim@c.msn
- Mendelete file di c:\documents and settings\jim\cookies\jim@doubleclick[1].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@download.moz
- Mendelete file di c:\documents and settings\jim\cookies\jim@genuine[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@google[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@live[1].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@m.web
- Mendelete file di c:\documents and settings\jim\cookies\jim@microsoftwga.112
- Mendelete file di c:\documents and settings\jim\cookies\jim@microsoft[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@mozilla[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@msn[1].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@search.liv
- Mendelete file di c:\documents and settings\jim\cookies\jim@search.msn
- Mendelete file di c:\documents and settings\jim\cookies\jim@snapfiles[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@sourceforge[2].txt
- Mendelete file di c:\documents and settings\jim\cookies\jim@tt11.ado
- Mendelete file di c:\documents and settings\jim\cookies\jim@winkeyfinder[2].txt
Aktivasi Registry
Satu atau lebih file dengan nama NTSD.EXE akan dibuat atau di
modifikasi didalam registry registry seperti yang ditunjukkan dibawah
ini :- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 2103 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 1609 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 2103 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1609 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 2103 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1609 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 2103 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1609 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 2103 value:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1609 value:
Menggunakan software Autorun dari sysinternal.com
- Download aplikasi sysinternal (sysinternal ini sudah diambil alih oleh microsoft disini
- Jalankan program autoruns nya.
- Setelah dijalankan programnya cari TAB Image Hijacks terus pilih TAB itu
- selanjutnya hapus semua entry yang ada di TAB Image Hijacks itu KECUALI : “c:\winnt\system32\ntsd.exe” di Image Path nya… (ingat yang value nya “ntsd.exe” jangan dihapus)
Posting Komentar
Butuh Bantuan Live? Silakan Hub Saya Via Facebook !