ntsys.exe 病毒 如何杀！

病毒Backdoor.IRC.Cloner.k分析报告

Backdoor.IRC.Cloner.k是依托于mIRC程序，利用mIRC强大的脚本功能进行攻击和访问控制的后门程序。整个后门程序由多个部分组成：

1 病毒利用程序。包括kill.exe，psexec.exe，adobea.exe，attrib.exe，ntsys.exe。

2 病毒核心程序。包括adobes.exe，abc2.dll，abcd.jpg，abc.bat，ntdll.bat。

3 其他病毒生成文件和相关配置文件。

一 病毒利用程序

kill.exe (以进程号做参数结束进程的工具)
psexec.exe (远程进程序启动工具)
adobea.exe (mIRC主程序)
attrib.exe (设置文件属性的程序)
ntsys.exe (隐藏窗口的程序)

二 病毒核心程序

adobes.exe(隐藏程序)(病毒名称是Backdoor.mIRC-based)
为一个Visual Basic编写的程序,该程序的作用为启动adobea.exe（即mirc程序）并把该程序的窗口设成隐藏。以便让mirc程序启动时不被用户发觉。该程序被加入到注册表run项中，系统启动时自动加载(加入注册表的部分在病毒脚本中)。

abc2.dll (配置文件)
mirc的配置文件，这个配置文件为病毒作者设计的，主要是把mirc的window等设成隐藏方式。并设一个执行脚本：文件名为abcd.jpg。

abcd.jpg(服务器脚本) ***后门实体*** (病毒名称是Backdoor.IRC.Cloner.k)
病毒的主体部分，该脚本实现的功能非常之多，它把mirc变成“功能强大”的服务器,可以实现端口扫描，文件服务器，邮件炸弹，Flood 攻击，UDP攻击，ICQ页面炸弹，局域网文件传染，局域网消息炸弹等多种攻击方式，把当前系统变成一个攻击服务器。

abc.bat (功能脚本) (可作传染部