NTService32.dll ZSTDP.sys的手工删除方法

转向http://61.167.120.244/index.html    MS漏洞和下载者 下载down.exe和ntldr.vbs到C盘

运行后生成 NTService32.dll MSCF.dll deskadp.dll ZSTDP.sys几个文件到system32目录下

添加开机启动项目 [C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll]

添加服务隐藏服务[Windows NT Service32 / Windows NT Service32]

[C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start]

开机加载驱动ZSTDP.sys 使得KV，RS，KAV，KAP，微点等病毒软件自动关闭 ICEsword也无法使用

NTService32.dll MSCF.dll 插入进程svchost.exe和services.exe中进行通信服务

deskadp.dll插入并启动IE隐藏进程

NTService32.dll MSCF.dll deskadp.dll ZSTDP.sys四个文件设置为了系统只读文件并且修改注册表禁止对以上文件设置访问权限 使得杀毒软件在提示找到病毒后“重起删除”失败

删除方法：

一：

1、开机按F8进入安全模式 将ICEsword.exe改名为ICE.com结束services.exe这个进程

 2、win+R打开MSCONFIG 设置启动类型为“诊断启动” 重起

3、继续进入安全模式 用该名后的ICEsword结束services.exe这个进程

4、删除ZSTDP.sys 用SRENG删除启动项目服务 删除服务[Windows NT Service32 / Windows NT Service32]

5、重起进入安全模式删除MSCF.dll deskadp.dll然后将启动模式恢复为正常。

二： 1、安装SSM win+R打开MSCONFIG 设置启动类型为“诊断启动” 重起

2、选则SSM开机启动设置好SSM 然后等待C:\WINDOWS\system32\NTService32.dll加载services.exe的对话框出来然后设置 “阻止” 并且“创建进程规则” 然后依次删除ZSTDP.sys NTService32.dll MSCF.dll deskadp.dll 即可。