扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2007年12月10日
关键字: userinit.exe病毒 userinit.exe是什么 userinit.exe下载 userinit.exe进程 userinit.exe userinit.exe专杀
userinit病毒的防范
一.病毒的原理:
1,修改userinit.exe文件,但不改变他的大小和日期.
2,非常熟悉还原软件(或还原卡)的工作原理,不破坏还原,但能穿透.
3,从域名下载文件,而不是基于IP.所以三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!
4,即使修改HOSTS文件,使域名指向假IP..也防不住变种..
5,病毒占资源不多,客户机不容易发觉!
二.免疫方法:
1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns可以做到),没有亲自试验,不知是不是有副作用.
因为这个病毒很明显是针对网吧设计出来的.
2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe
解决方案,永久搞定,彻底搞定.对变种有效.2007-11-03 17:35中毒的现象:
userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe
并且不在进程中加载,删除后,机器启动到登陆用户界面时就开始不停的登陆,注销,登陆。。。。。。
问题已经解决 发现主程序为userinit.exe文件
位置C:\WINDOWS\system32\userinit.exe
能穿透大多数的保护程序
正常文件的属性(有版本号) userinit.exe病毒文件的属性(没有版本号) userinit.exe 1 有保护的机器先断网(拔了网线),启动机器,等5分钟左右,如果没有发现进程中加载可疑进程,那么恭喜你了。。。其他文件可能被感染的几率非常小了,这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号 没有的话,说明文件被感染,这时去掉保护,重起机器(断网),结束userinit.exe进程,然后删除C:\WINDOWS\system32\userinit.exe文件,换一个正常的 解决方法:
1.原理:
每分钟对userinit.exe进行监视,根据软件的DM5码准确无误的判断是否修改过,如果有修改,软件自动生成一个没有修改过的userinit.exe,并以机器狗穿回去!
2.利用注册表法:
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1
md %systemroot%\system32\1\2
copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2 /p everyone:f
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。