File NTSD.EXE

PC Anda mungkin terinfeksi. Kehadiran file bernama NTSD.EXE merupakan tanda kemungkinan infeksi.

Simbolik Debugger untuk Windows – ntsd.exe – ntsd

ntsd.exe adalah proses yang terdaftar sebagai simbolik Debugger untuk Windows. Seperti file, yang biasanya berakhir menjadi spyware atau virus saat mendarat di PC kita sering berbeda dari file asli yang bukan merupakan ancaman, karena mereka berada di direktori lain dan memiliki tanda tangan digital yang berbeda. Untuk menentukan apakah ini merupakan ancaman nyata atau tidak, untuk melakukan peninjauan dengan alat deteksi. ANT termasuk alat antispyware dan mampu mendeteksi dan mengoreksi ancaman ini.

Anda harus segera memeriksa PC Anda untuk memastikan tidak terinfeksi. Versi gratis Prevx akan memindai PC Anda dalam waktu kurang dari dua menit dan memeriksa jutaan infeksi spyware dan malware termasuk NTSD.EXE. Jangan menaruh data rahasia Anda, atau identitas Anda beresiko, memeriksa PC anda sekarang dengan Prevx.

Prilaku File

NTSD.EXE telah terlihat untuk melakukan perilaku sebagai berikut:

  • Menyalin file
  • Proses ini adalah file infector yang memodifikasi file-file program untuk menyertakan salinan yang terinfeksi
  • Proses ini Menghapus Proses Lain Dari Disk
  • Melaksanakan sebuah Proses
  • File autoexec.bat kelihatan di isi
  • Mendatangkan perangkat lunak yang tidak dikenal dan berbahaya selama eksekusi
  • Membuka pop up browser
  • Menulis ke Memori Virtual lain Proses’s (Proses Pembajakan)
  • Masuk ke Register File Dynamic Link  Liberary (File DLL)
  • Proses ini menciptakan proses-proses lain pada disk

NTSD.EXE telah menjadi subyek dari perilaku sebagai berikut:

  • Dieksekusi sebagai sebuah Proses
  • Dibuat sebagai suatu proses pada disk
  • Memasukkan kode ke dalam ruang Memori Virtual oleh program lain
  • Memberhentikan sebuah proses
  • Terdaftar sebagai File Dynamic Link Liberary
  • Menghapus proses dari disk

Nama file yang sebenarnya

NTSD.EXE akan selalu menggunakan nama file :

  • 98452895.EXE
  • 94117139.DAT
  • 16535586.DAT

Besar File

Besar file rata-rata :

  • 178,176 bytes
  • 32,256 bytes
  • 52,224 bytes
  • 38,400 bytes
  • 43,008 bytes
  • 35,328 bytes

Aktivitas File

Salah satu file atau lebih dengan nama NTSD.EXE akan dibuat, mendelete, mengcopy atau memindahkan file dan folder seperti dibawah ini :

  • Membuat file di  c:\windows\system32\magnify.ivr
  • Mengcopy file di c :\windows\system32\magnify.ivr ke c:\windows\system32\magnify.exe
  • Mendelete file di c:\windows\system32\magnify.ivr
  • Membuat file di c:\windows\system32\narrator.ivr
  • Mengcopy file di c:\windows\system32\narrator.ivr ke  c:\windows\system32\narrator.exe
  • Mendeletes c:\windows\system32\narrator.ivr
  • Membuat File di c:\windows\system32\osk.ivr
  • Mengcopy file di c:\windows\system32\osk.ivr ke  c:\windows\system32\osk.exe
  • Mendelete file di c:\windows\system32\osk.ivr
  • Membuat file di c:\windows\system32\utilman.ivr
  • Mengcopy file di c:\windows\system32\utilman.ivr ke c:\windows\system32\utilman.exe
  • Mendelete file di c:\windows\system32\utilman.ivr
  • Membuat file di c:\program files\outlook express\wab.ivr
  • Mengcopy file di c:\program files\outlook express\wab.ivr ke c:\program files\outlook express\wab.exe
  • Mendelete file di  c:\program files\outlook express\wab.ivr
  • Membuat file di  c:\program files\windows media player\wmplayer.ivr
  • Mengcopy file di c:\program files\windows media player\wmplayer.ivr ke c:\program files\windows media player\wmplayer.exe
  • Mendelete file di  c:\program files\windows media player\wmplayer.ivr
  • Membuat file di c:\windows\system32\notepad.ivr
  • Mengcopy file di c:\windows\system32\notepad.ivr ke c:\windows\system32\notepad.exe
  • Mendelete file di  c:\windows\system32\notepad.ivr
  • Membuat file di c:\windows\system32\mobsync.ivr
  • Mengcopy file di Copies filec:\windows\system32\mobsync.ivr ke c:\windows\system32\mobsync.exe
  • Mendelete file di  c:\windows\system32\mobsync.ivr
  • Membuat file di  c:\windows\system32\tourstart.ivr
  • Mengcopy file di c:\windows\system32\tourstart.ivr ke c:\windows\system32\tourstart.exe
  • Mendelete file di  c:\windows\system32\tourstart.ivr
  • Membuat file di c:\windows\system32\rcimlby.ivr
  • Mengcopy file di c:\windows\system32\rcimlby.ivr ke c:\windows\system32\rcimlby.exe
  • Mendelete file di c:\windows\system32\rcimlby.ivr
  • Mendelete file di c:\documents and settings\jim\cookies\index.dat
  • Mendelete file di c:\documents and settings\jim\cookies\jim@adobe[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@auto.sea
  • Mendelete file di c:\documents and settings\jim\cookies\jim@c.msn
  • Mendelete file di c:\documents and settings\jim\cookies\jim@doubleclick[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@download.moz
  • Mendelete file di c:\documents and settings\jim\cookies\jim@genuine[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@google[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@live[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@m.web
  • Mendelete file di c:\documents and settings\jim\cookies\jim@microsoftwga.112
  • Mendelete file di c:\documents and settings\jim\cookies\jim@microsoft[2].txt
  •  Mendelete file di c:\documents and settings\jim\cookies\jim@mozilla[2].txt
  •  Mendelete file di c:\documents and settings\jim\cookies\jim@msn[1].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@search.liv
  • Mendelete file di c:\documents and settings\jim\cookies\jim@search.msn
  • Mendelete file di c:\documents and settings\jim\cookies\jim@snapfiles[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@sourceforge[2].txt
  • Mendelete file di c:\documents and settings\jim\cookies\jim@tt11.ado
  • Mendelete file di c:\documents and settings\jim\cookies\jim@winkeyfinder[2].txt

Aktivasi Registry

Satu atau lebih file dengan nama NTSD.EXE akan dibuat atau di modifikasi didalam registry registry seperti yang ditunjukkan dibawah ini :

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 1609 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 2103 value:
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 1609 value:

Menggunakan software Autorun dari sysinternal.com

  1. Download aplikasi sysinternal  (sysinternal ini sudah diambil alih oleh microsoft disini
  2. Jalankan program autoruns nya.
  3. Setelah dijalankan programnya cari TAB Image Hijacks terus pilih TAB itu
  4. selanjutnya hapus semua entry yang ada di TAB Image Hijacks itu KECUALI : “c:\winnt\system32\ntsd.exe” di Image Path nya… (ingat yang value nya “ntsd.exe” jangan dihapus)

One Response

  1. […] File NTSD.EXE […]

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: