Derek's Blog

前两天舍友的笔记本电脑出现了个莫名其妙的故障，一些软件无法运行，重新安装却提示NSIS Error错误。不仅如此，本本上的其他一些软件安装包也无法安装，运行均提示此错误，仅有少数几个程序可以正常安装。

经过了两个多小时折腾，终于搞定，是由病毒引起的，下面贴出解决过程，希望能对搜索引擎过来的同学有所帮助。

解决过程

电脑概况：

• 可以连接网络
• exe文件几乎都无法运行
• 系统运行正常，未出现异常进程
• 未安装任何安全软件，裸奔机子

故障截图：

NSIS Error

Installer integrity check has failed. Common causes include incomplete download and damaged media. Contact the installer’s author to obtain a new copy.

More information at:

http://nsis.sf.net/NSIS_Error

最初的时候，我以为是系统的应用组件出了问题，重新安装windows installer，visual C++等运行库，无法搞定。

接着重装了系统，发现还是未解决，这时候我才上网搜索“NSIS Error错误”是怎么一回事？

使用google搜索“NSIS Error错误”，发现出现这个问题的用户还真不少，解决问题的方式也是千奇百怪。有的说是硬件兼容问题，有的说是硬盘坏道、内存错误问题，有的说是系统问题，有的说是病毒问题……….

接着我判断可能是硬件问题，因为我的同学这几天只是看点小说而已，不太可能中毒，而且几天前本本还正常得很。于是我使用HD.Tune和MemTest进行测试，结果发现内存和硬盘正常。

接着拿出维护盘，用大蜘蛛杀毒软件进行杀毒，好家伙，杀出了800多个virus……很多exe格式系统组件也被感染，无法修复，只能删除，系统又被破坏了，只能再次重新安装系统。

记住：如果不是把硬盘拆出作为从盘挂接到另一台主机进行杀毒，那在重装完系统之后，不要进入我的电脑（担心病毒未杀干净缘故），直接上网下载一个杀毒软件（我下载的是avast）到桌面（使用U盘也不太保险），安装完后升级进行全盘深入查杀。到此为止，即可搞定。

注：avast不负众望，查杀出30个残留病毒，这是部分杀毒报告，可以看到.exe结尾的文件均被感染
*
* avast! 扫描报告
* 该文件是自动生成的
*
* 扫描名称: sha guang guang
* 开始于: 2010年1月14日 0:17:16
* VPS: 100313-0, 2010-03-13
*

C:\WINDOWS\system32\dllcache\wupdmgr.exe [L] Win32:Malware-gen (0)
C:\WINDOWS\system32\wupdmgr.exe [L] Win32:Malware-gen (0)
E:\cs1.5\SierraUp.exe [L] Win32:Katusha-BC [Trj] (0)
E:\cs1.5\voice_tweak.exe [L] Win32:Katusha-BC [Trj] (0)
E:\cs1.5\cstrike.exe [L] Win32:Katusha-BC [Trj] (0)
E:\cs1.5\hlds.exe [L] Win32:Katusha-BC [Trj] (0)
E:\cs1.5\hltv.exe [L] Win32:Katusha-BC [Trj] (0)
E:\安装包\ppstreamsetup.exe [L] Win32:Katusha-BC [Trj] (0)
F:\软件\Plugin\Com.Tencent.QQMusic\bin\QQMusic\QzoneMusic.exe [L] Win32:Katusha-BC [Trj] (0)
F:\软件\Plugin\Com.Tencent.QQMusic\bin\QQMusic\BugReport.exe [L] Win32:Katusha-BC [Trj] (0)
F:\软件\Plugin\Com.Tencent.QQMusic\bin\QQMusic\QQMusicUpdate.exe [L] Win32:Katusha-BC [Trj] (0)
F:\软件\pps\unpps.exe [L] Win32:Katusha-BC [Trj] (0)
F:\软件\KuGou2010\360Inst-kugou.exe [L] Win32:Katusha-BC [Trj] (0)
F:\Access2003\Access2003\RegAccess2003.exe [L] Win32:Trojan-gen (0)

病毒资料

之后我查询了几个主要病毒资料，威胁还是挺严重的，建议机子别裸奔，顺便附上资料：

Win32:Katusha-BC（变种）

此病毒名为 卡屠杀B变种病毒（名字挺牛）！exe文件几乎全部被感染，一般杀毒软件根本杀不出来，它可控制了大部分杀毒软件，也就是反杀毒软件，使之根本打不开。它的最大特点：一旦联通网络，会自动从网络下载大量的木马、病毒，随时加强自己。一般的手动修改注册表也无可奈何，它加载到了内核模块，甚至是内存中。建议彻底查杀之，否则后患无穷！它还能盗取各种密码资料。

下面的经验来自一名可怜的网友：

它是一个加壳病毒,有些杀软不一定查的出，
中了此毒后，计算机几乎所有的EXE文件全部被感染，若连接上了网络，则会在后台大量下载病毒。
中毒后建议，关闭网络连接,用卡巴完整扫描我的电脑，或者分区扫描(效率或许高点)，也可以进入安全模式杀毒，卡巴查出病毒后提示清毒或删除，此病毒非常顽固，只能删除，删除过程中可能提示无权或文件写保护未被使用而无法删除，建议重启后进入安全模式再进行删除。
如有必要，重装电脑
由于几乎是所有EXE文件，所有杀毒时请忍住心痛，东西没了可以再下载…..

Win32.Parite.N（亦有不少变种）

from 网友

当你运行.EXE文件时·发现有病毒提示·请马上停止运行·
第一断网杀毒
第二清扫现场
第三恭喜你中毒太深·重装系统

附：
win32.parite.N通过在win32 pe类型文件（如：scr屏幕保护程序文件、exe可执行文件）的尾部加入加密的程序，PE的执行入口被修改为指向病毒解密代码，使它运行时转到病毒处，执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。

第一次运行时，win32.parite.N病毒会创建一个临时文件，而文件名则是随机的，比如： C:\WINDOWS\TEMP\pgt91F0.TMP。这是一个动态链接库文件，它包含了病毒的主要功能。而病毒会把本地的动态链接库文件存放在注册表的 HKEY_CURRENT_USER\Software\Microsoft Windows Current\Version\Explorer PINF键，运行时，病毒会附加在Explorer.exe文件上以便驻留内存。

病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行，马上就被感染。

还有其他不少病毒Trojan.StartPage.25635，Win32.HLLW.Autoruner.7519，Win32.Parite.1，Win32.Parite.3……

PS：我的舍友真的是挺倒霉的…….