病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 自动加载的winNTsyscpls服务ousock32.dll »

被替换的userinit.exe

  还是那台已经中过两次病毒导致CPU100%老电脑,同样的现象,CPU100%被占用,在进程表中出现一个随机字母与数字组成文件名的进程,任务管理器中结束不了,然后不断出现一些随机数字组合的进程,没有后缀,结束了又会出现新的,电脑运行缓慢,卡得半死,安全模式下也是如此。本想直接运行windows清理助手(上次下了放在这台电脑上没删),升级完运行扫描,速度太慢,鼠标也时常卡住,受不了,不想慢慢等,想直接强制删除文件,反正就那几个地方:c:\windows\fonts、c:\windows\tasks、c:\windows\Downloaded Program Files以及c:\windows\system32,这个前两次文中已经写过了(包括进入查看前三个特殊文件夹的方法),都是一些随机的字母与数字组合而成的文件名,大多数文件名位数超过8位以上,很长,后缀除exe、dll外还有inf、dat、idx、ico、ttf等,别认为它们真是字体文件与图标文件,除文件名外还可根据文件创建时间查找(特别注意当天同时生成的文件,注意不要混淆了系统文件,看看修改时间以及与已确认的病毒木马文件时间比对)。

  使用powerrmv删除并抑制上述几个文件夹中查到的文件,然后用SREng检查,无非还是那个AppInit_Dlls和ShellExecuteHook位置加入病毒文件启动,还有服务与驱动,引用的临时文件夹中的文件。马上进入temp中清干净,重启(如果不重启,注册表里的这些病毒木马的启动加载项可能大多会删不了。然而重启后电脑状况没有改善,依然CPU100%占满,而且刚才删除的那几个文件夹中又冒出大量新的病毒文件(因为是随机文件名,所以用powerrmv是抑制不了的)。

  反复折腾都不行,压抑烦燥的心情继续检查,发现进程中有一个userinit.exe进程在开机后一直存在不会消失,而正常的userinit.exe一般只会在开机启动时出现一下就消失了,因此这个userinit.exe一定有问题。耐下心进入安全模式,虽然也是CPU100%,不过似乎会比正常模式下好一些,运行windows清理助手,等它全部扫描完,果然发现有userinit.exe被病毒替换(当然还有其它木马)。找一个正常的userinit.exe文件放入windows清理助手所在文件夹中的sif文件夹中(拷贝也行,下载也行,最后放到sif中即可,不可压缩),让助手执行清理修复,重启,CPU使有率明显下降了。松一口气,继续检查上面提到的那几个文件夹,一定还有残留,不要紧,手动删除就行,再用SREng检查下有没有残留与未修复项,一块搞定。

  看来就是这个userinit.exe搞的鬼,不过如果正常的userinit.exe被破坏,系统将出现反复注销而不能进入的情况,当然现在的病毒木马不会傻到自绝生路(不过象这样占满100%,什么也不能做的情况,不知道是傻还是要做什么),因此它们会释放或是说复制一个userinit.exe文件来实现系统功能,而文件名字就不是这个userinit了,而是一个随机的文件名,如果你去检查下那些被你删除的exe文件的属性,说不定就会发现一个与正常userinit.exe一模一样的文件(除了文件名)。

  这已经是这台电脑第三次出问题了,一次比一次麻烦,不得不采取点措施,杀毒软件没法装(老机,你想象不到的老,后90后的电脑,硬盘也不够),就只好整个360凑合吧,同时把AppInit_Dlls和ShellExecuteHook限制控制权限,看看到下一次出事之前还能熬多久。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/527.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号