求助！Windows2000操作系统进程Nrcs.exe染毒了！

jacal_li · 2006-09-05, 13:49

windows2000系统/NT目录下的nrcs.exe是干什么用的？是系统必需进程吗？这个程序染毒怎么才能杀啊？用KV2004杀，系统提示删除失败怎么回事？

srsman · 2006-09-06, 00:27

Trojan-Proxy.Win32.Ranky.fv
木马一条

1、病毒运行后释放病毒文件：

%windir%/NT/nrcs.exe
2、删除注册表中所有启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下的键值全部删除

3、修改注册表项，随进程userinit.exe和Explorer.exe启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
新建键值: 字串: " Shell "="Explorer.exe C:\WINDOWS\NT\nrcs.exe"
原键值: 字符串: " Shell "="Explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\NT\nrcs.exe"
原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,"

4、新建注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Microsoft (R) Windows Vista
键值: 字串: "NT Runtime Compatibility Service "="C:\WINDOWS\NT\nrcs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE
键值: 字串: Tmp"="LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000\Control
键值: 字串: "ActiveService"="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
键值: 字串: "DeviceDesc "="Windows Vista/NT
Runtime Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum
\Root\LEGACY_NTRCS\0000
键值: 字串: "Service "="ntrcs"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
键值: 字串: "ImagePath "="C:\WINDOWS\NT\nrcs.exe. "
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs
键值: 字串: "ObjectName "="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT
\nrcs.exe:*:Enabled:Microsoft (R) Windows Vista/NT Runtime
Compatibility Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
\LEGACY_NTRCS\0000\Control
键值: 字串: "ActiveService "="ntrcs"

5、还原系统隐藏属性

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

广告工具下载 · 2006-09-08, 00:19

好啊楼主，没想到啊，太好了

自动帮顶帖子 · 2006-09-08, 08:17

参考参考，我认为很好，大家说说

双至强仅二千,企商在线,最早租用商	魔兽世界私服魔兽世界私服	此文字广告位招租	天龙八部私服传奇世界私服新开传奇私服
传奇私服热血江湖私服	全球最新的创意科技产品	魔域私服魔域私服	新开传奇私服魔域私服传奇私服

2006-09-05, 13:49	#1 (页面定位)
jacal_li 注册日期: 2006-09-05 帖子: 1	求助！Windows2000操作系统进程Nrcs.exe染毒了！ windows2000系统/NT目录下的nrcs.exe是干什么用的？是系统必需进程吗？这个程序染毒怎么才能杀啊？用KV2004杀，系统提示删除失败怎么回事？

2006-09-06, 00:27	#2 (页面定位)
srsman 注册日期: 2005-11-08 帖子: 1758	Trojan-Proxy.Win32.Ranky.fv 木马一条 1、病毒运行后释放病毒文件： %windir%/NT/nrcs.exe 2、删除注册表中所有启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下的键值全部删除 3、修改注册表项，随进程userinit.exe和Explorer.exe启动： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon 新建键值: 字串: " Shell "="Explorer.exe C:\WINDOWS\NT\nrcs.exe" 原键值: 字符串: " Shell "="Explorer.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 新建键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\NT\nrcs.exe" 原键值: 字串: "Userinit"="C:\WINDOWS\system32\userinit.exe," 4、新建注册表，添加启动项，以达到随机启动的目的： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run\Microsoft (R) Windows Vista 键值: 字串: "NT Runtime Compatibility Service "="C:\WINDOWS\NT\nrcs.exe" HKEY_LOCAL_MACHINE\SOFTWARE 键值: 字串: Tmp"="LegacyDriver" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000\Control 键值: 字串: "ActiveService"="ntrcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000 键值: 字串: "DeviceDesc "="Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum \Root\LEGACY_NTRCS\0000 键值: 字串: "Service "="ntrcs" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs 键值: 字串: "ImagePath "="C:\WINDOWS\NT\nrcs.exe. " HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntrcs 键值: 字串: "ObjectName "="LocalSystem" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services \SharedAccess\Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT \nrcs.exe::Enabled:Microsoft (R) Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess \Parameters\FirewallPolicy\StandardProfile \AuthorizedApplications\List 键值: 字串: "C:\WINDOWS\NT\nrcs.exe "="C:\WINDOWS\NT \nrcs.exe::Enabled:Microsoft (R) Windows Vista/NT Runtime Compatibility Service" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root \LEGACY_NTRCS\0000\Control 键值: 字串: "ActiveService "="ntrcs" 5、还原系统隐藏属性注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。我的宝宝树

2006-09-08, 00:19	#3 (页面定位)
广告工具下载注册日期: 2006-09-07 帖子: 26	好啊楼主，没想到啊，太好了论坛自动发贴机自动发贴软件论坛发贴工具网站推广软件论坛群发软件论坛群发器联系qq:525093551 网络生意经

2006-09-08, 08:17	#4 (页面定位)
自动帮顶帖子注册日期: 2006-09-08 帖子: 16	参考参考，我认为很好，大家说说论坛自动发贴机自动发贴软件论坛发贴工具网站推广软件论坛群发软件论坛群发器联系qq:525093551 网络生意经

主题工具
显示可打印版本邮寄本页给好友
显示模式	对此主题评分
平板模式切换到混合模式切换到树形模式	对此主题评分: