userinit.exe病毒的防範

一.病毒的原理:
1,修改userinit.exe文件,但不改變他的大小和日期.

2,非常熟悉還原軟件(或還原卡)的工作原理,不破壞還原,但能穿透.
3,從域名下載文件,而不是基於IP.所以三聯的疫苗和封IP的方式都只能治標而不治本.病毒不用變種,就能突破!

4,即使修改HOSTS文件,使域名指向假IP..也防不住變種..

5,病毒佔資源不多,客戶機不容易發覺!

二.免疫方法:

1.考慮的方法是給userinit.exe加權限或不讓userinit.exe運行(autoruns可以做到),沒有親自試驗,不知是不是有副作用.因爲這個病毒很明顯是針對網吧設計出來的.

2.免疫igm.exe解決方法專殺工具機器狗類穿透還原病毒userinit.exe
解決方案,永久搞定,徹底搞定.對變種有效.2007-11-03 17:35中毒的現象:

userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe

並且不在進程中加載，刪除後，機器啓動到登陸用戶界面時就開始不停的登陸，註銷，登陸。。。。。。

問題已經解決 發現主程序爲userinit.exe文件

位置C:\WINDOWS\system32\userinit.exe

能穿透大多數的保護程序

正常文件的屬性（有版本號）  userinit.exe病毒文件的屬性（沒有版本號）  userinit.exe  1有保護的機器先斷網（拔了網線），啓動機器，等5分鐘左右，如果沒有發現進程中加載可疑進程，那麼恭喜你了。。。其他文件可能被感染的機率非常小了，這時只查看C:\WINDOWS\system32\userinit.exe文件的屬性 看看有沒有版本號沒有的話，說明文件被感染，這時去掉保護，重起機器（斷網），結束userinit.exe進程，然後刪除C:\WINDOWS\system32\userinit.exe文件，換一個正常的 解決方法:

1.原理：

每分鐘對userinit.exe進行監視，根據軟件的DM5碼準確無誤的判斷是否修改過，如果有修改,軟件自動生成一個沒有修改過的userinit.exe，並以機器狗穿回去!

2.利用註冊表法:
以下分二部分，一部分是批處理，一部分是註冊表！請確保c:\windows\system32\userinit.exe是無毒文件

@echo off
md %systemroot%\system32\1

md %systemroot%\system32\1\2

copy   /y c:\windows\system32\userinit.exe   c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f

echo y|cacls c:\windows\system32\1 /p everyone:n

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe   >nul 2>nul

md c:\WINDOWS\DiskMan32.exe   >nul 2>nul

md c:\WINDOWS\IGM.exe   >nul 2>nul

md c:\WINDOWS\Kvsc3.exe   >nul 2>nul

md c:\WINDOWS\lqvytv.exe   >nul 2>nul

md c:\WINDOWS\MsIMMs32.exe   >nul 2>nul

md c:\WINDOWS\system32\3CEBCAF.EXE   >nul 2>nul

md %windir%\system32\drivers\svchost.exe >nul 2>nul

md c:\WINDOWS\system32\a.exe   >nul 2>nul

md c:\WINDOWS\upxdnd.exe   >nul 2>nul

md c:\WINDOWS\WinForm.exe   >nul 2>nul

md c:\WINDOWS\system32\rsjzbpm.dll   >nul 2>nul

md c:\WINDOWS\system32\racvsvc.exe   >nul 2>nul

md c:\WINDOWS\cmdbcs.exe   >nul 2>nul

md c:\WINDOWS\dbghlp32.exe   >nul 2>nul

md c:\WINDOWS\nvdispdrv.exe   >nul 2>nul

md c:\WINDOWS\system32\cmdbcs.dll   >nul 2>nul

md c:\WINDOWS\system32\dbghlp32.dll   >nul 2>nul

md c:\WINDOWS\system32\upxdnd.dll   >nul 2>nul

md c:\WINDOWS\system32\yfmtdiouaf.dll   >nul 2>nul

echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe   c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution

Options\IGM.EXE" /v debugger /treg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是註冊表部分！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 

00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 

5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 

00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 

00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 

5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 

00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007

另存爲*.reg

運行以上兩個文件,立即搞定.

3.防userinit.exe修改方法:

第一步:複製一份沒有中毒的userinit.exe到SYSTEM32目錄,

第二步:把複製的userinit.exe改名爲其他的文件名比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的

Userinit鍵值:C:\WINDOWS\system32\userinit.exe,

爲:C:\WINDOWS\system32\mylogin.exe,

注意鍵值後面有個英文逗號

第四步:爲userinit.exe免疫:意思就是建立一個userinit.exe目錄.去掉所有權限!

三.相關知識
文件名: userinit.exe
顯示名: Microsoft? Windows? 操作系統
描述: Userinit 登錄應用程序
發行者: Microsoft Corporation
數字簽名方: Microsoft Windows Verification PCA
文件類型: 應用程序
文件路徑: C:\Windows\system32\userinit.exe
文件大小: 24576
文件版本: 6.0.5744.16384 (vista_rtm_edw.061003-1945)
安裝日期: 2006/10/4 13:41:53
啓動類型: 註冊表: 本地計算機
位置: SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit
分類: 允許的
與操作系統一起提供: 是

   Userinit.exe是Windows操作系統一個關鍵進程。用於管理不同的啓動順序，例如在建立網絡鏈接和Windows殼的啓動。Userinit.exe也有可能是***僞裝的***程序。正常Userinit.exe程序在系統啓動完成後就會自動消失。如果開機後很長時間都沒有消失就有可能是***程序。

 

來源：維度網－每個人都有自己的維度