一.病毒的原理:
1,修改userinit.exe文件,但不改变他的大小和日期.
2,很是熟悉还原软件(或还原卡)的工做原理,不破坏还原,但能穿透.
3,从域名下载文件,而不是基于IP.因此三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!
4,即便修改HOSTS文件,使域名指向假IP..也防不住变种..
5,病毒占资源很少,客户机不容易发觉!
二.免疫方法:
1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns能够作到),没有亲自试验,不知是否是有反作用.由于这个病毒很明显是针对网吧设计出来的.
2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe
解决方案,永久搞定,完全搞定.对变种有效.2007-11-03 17:35中毒的现象:
userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe
而且不在进程中加载,删除后,机器启动到登录用户界面时就开始不停的登录,注销,登录。。。。。。
问题已经解决 发现主程序为userinit.exe文件
位置C:\WINDOWS\system32\userinit.exe
能穿透大多数的保护程序
正常文件的属性(有版本号) userinit.exe病毒文件的属性(没有版本号) userinit.exe 1有保护的机器先断网(拔了网线),启动机器,等5分钟左右,若是没有发现进程中加载可疑进程,那么恭喜你了。。。其余文件可能被感染的概率很是小了,这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号没有的话,说明文件被感染,这时去掉保护,重起机器(断网),结束userinit.exe进程,而后删除C:\WINDOWS\system32\userinit.exe文件,换一个正常的 解决方法:
1.原理:
每分钟对userinit.exe进行监视,根据软件的DM5码准确无误的判断是否修改过,若是有修改,软件自动生成一个没有修改过的userinit.exe,并以机器狗穿回去!
2.利用注册表法:
如下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1
md %systemroot%\system32\1\2
copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2 /p everyone:f
echo y|cacls c:\windows\system32\1 /p everyone:n
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
echo y|cacls c:\windows\system32\userinit.exe /p everyone:n
md c:\WINDOWS\AVPSrv.exe >nul 2>nul
md c:\WINDOWS\DiskMan32.exe >nul 2>nul
md c:\WINDOWS\IGM.exe >nul 2>nul
md c:\WINDOWS\Kvsc3.exe >nul 2>nul
md c:\WINDOWS\lqvytv.exe >nul 2>nul
md c:\WINDOWS\MsIMMs32.exe >nul 2>nul
md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul
md %windir%\system32\drivers\svchost.exe >nul 2>nul
md c:\WINDOWS\system32\a.exe >nul 2>nul
md c:\WINDOWS\upxdnd.exe >nul 2>nul
md c:\WINDOWS\WinForm.exe >nul 2>nul
md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul
md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul
md c:\WINDOWS\cmdbcs.exe >nul 2>nul
md c:\WINDOWS\dbghlp32.exe >nul 2>nul
md c:\WINDOWS\nvdispdrv.exe >nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul
md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul
md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul
echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul
echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul
echo reg add "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution
Options\IGM.EXE" /v debugger /treg_sz /d debugfile.exe /f
echo gpupdate
exit
下面是注册表部分!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,
5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74,
00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,
5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74,
00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
另存为*.reg
运行以上两个文件,当即搞定.
3.防userinit.exe修改方法:
第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
第二步:把复制的userinit.exe更名为其余的文件名好比:mylogin.exe
第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的
Userinit键值:C:\WINDOWS\system32\userinit.exe,
为:C:\WINDOWS\system32\mylogin.exe,
注意键值后面有个英文逗号
第四步:为userinit.exe免疫:意思就是创建一个userinit.exe目录.去掉全部权限!
三.相关知识
文件名: userinit.exe
显示名: Microsoft? Windows? 操做系统
描述: Userinit 登陆应用程序
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
文件类型: 应用程序
文件路径: C:\Windows\system32\userinit.exe
文件大小: 24576
文件版本: 6.0.5744.16384 (vista_rtm_edw.061003-1945)
安装日期: 2006/10/4 13:41:53
启动类型: 注册表: 本地计算机
位置: SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit
分类: 容许的
与操做系统一块儿提供: 是
Userinit.exe是Windows操做系统一个关键进程。用于管理不一样的启动顺序,例如在创建网络连接和Windows壳的启动。Userinit.exe也有多是***假装的***程序。正常Userinit.exe程序在系统启动完成后就会自动消失。若是开机后很长时间都没有消失就有多是***程序。