waydu_mm 发表于 2008-11-25 11:59:33

userinit.exe病毒

userinit.exe病毒
一.病毒的原理:
1,修改userinit.exe文件,但不改变他的大小和日期.

2,非常熟悉还原软件(或还原卡)的工作原理,不破坏还原,但能穿透.
3,从域名下载文件,而不是基于IP.所以三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!

4,即使修改HOSTS文件,使域名指向假IP..也防不住变种..

5,病毒占资源不多,客户机不容易发觉!

二.免疫方法:

1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns可以做到),没有亲自试验,不知是不是有副作用.因为这个病毒很明显是针对网吧设计出来的.

2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe
解决方案,永久搞定,彻底搞定.对变种有效.2007-11-03 17:35中毒的现象:

userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe

并且不在进程中加载,删除后,机器启动到登陆用户界面时就开始不停的登陆,注销,登陆。。。。。。

问题已经解决 发现主程序为userinit.exe文件

位置C:\WINDOWS\system32\userinit.exe

能穿透大多数的保护程序

正常文件的属性(有版本号)userinit.exe病毒文件的属性(没有版本号)userinit.exe1有保护的机器先断网(拔了网线),启动机器,等5分钟左右,如果没有发现进程中加载可疑进程,那么恭喜你了。。。其他文件可能被感染的几率非常小了,这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号没有的话,说明文件被感染,这时去掉保护,重起机器(断网),结束userinit.exe进程,然后删除C:\WINDOWS\system32\userinit.exe文件,换一个正常的 解决方法:

1.原理:

每分钟对userinit.exe进行监视,根据软件的DM5码准确无误的判断是否修改过,如果有修改,软件自动生成一个没有修改过的userinit.exe,并以机器狗穿回去!

2.利用注册表法:
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件

详细:http://www.waydu.com/memodetail.aspx?memo=737&class=32

解决方法:http://www.waydu.com/memodetail.aspx?memo=741&class=32

[ 本帖最后由 waydu_mm 于 2008-11-25 12:00 编辑 ]
页: [1]
查看完整版本: userinit.exe病毒