userinit病毒的防范(1)

userinit病毒的防范

一.病毒的原理:

1,修改userinit.exe文件,但不改变他的大小和日期.

2,非常熟悉还原软件(或还原卡)的工作原理,不破坏还原,但能穿透.

3,从域名下载文件,而不是基于IP.所以三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!

4,即使修改HOSTS文件,使域名指向假IP..也防不住变种..

5,病毒占资源不多,客户机不容易发觉!

二.免疫方法:

1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns可以做到),没有亲自试验,不知是不是有副作用.

因为这个病毒很明显是针对网吧设计出来的.

2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe

解决方案,永久搞定,彻底搞定.对变种有效.2007-11-03 17:35中毒的现象:

userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe

并且不在进程中加载，删除后，机器启动到登陆用户界面时就开始不停的登陆，注销，登陆。。。。。。

问题已经解决 发现主程序为userinit.exe文件

位置C:\WINDOWS\system32\userinit.exe

能穿透大多数的保护程序

正常文件的属性（有版本号）  userinit.exe病毒文件的属性（没有版本号）  userinit.exe  1 有保护的机器先断网（拔了网线），启动机器，等5分钟左右，如果没有发现进程中加载可疑进程，那么恭喜你了。。。其他文件可能被感染的几率非常小了，这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号 没有的话，说明文件被感染，这时去掉保护，重起机器（断网），结束userinit.exe进程，然后删除C:\WINDOWS\system32\userinit.exe文件，换一个正常的 解决方法:

1.原理：

每分钟对userinit.exe进行监视，根据软件的DM5码准确无误的判断是否修改过，如果有修改,软件自动生成一个没有修改过的userinit.exe，并以机器狗穿回去!

2.利用注册表法:

以下分二部分，一部分是批处理，一部分是注册表！请确保c:\windows\system32\userinit.exe是无毒文件

@echo off
md %systemroot%\system32\1

md %systemroot%\system32\1\2

copy   /y c:\windows\system32\userinit.exe   c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f