剣帝 - 2008-2-5 11:26:00
系统函数控制里的记录
操作 进程名称 操作数据
试图改写目标程序内存 C:\Windows\system32\userinit.exe c:\windows\explorer
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
吻你没商量 - 2008-2-8 17:49:00
好相当小心!可能有病毒已经入侵了
吻你没商量 - 2008-2-8 17:50:00
userinit.exe
进程文件: userinit 或者 userinit.exe
进程名称: UserInit Process
描述:
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
出品者: Microsoft Corp.
属于: Windows
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的
最近电脑突然卡,发现杀毒软件老是报告userinit.exe被修改
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
果然,瑞星报毒!!!.
病毒创建usrinit.exe,放入到%systemroot%system32目录下。然后,usrinit.exe开始接手工作。userinit.exe进程结束。
usrinit.exe上台后,开始创建svchost.exe进程。任务完成后,usrinit.exe进程自动结束
svchost.exe就是主角登场了,它开始在本地端口4444号上监控,同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想,估计还会下载其它N多病毒。
通过以上三个动作,病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后,一切进程都稍无声息的消失不见。于是乎,你不小心的话,根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀!!前面两个进程,在进程列表里,停留的时间极短,几乎是一闪而过。而后面主角svchost.exe,我想你怎么也不会怀疑到它头上。系统服务的核心进程,大部分都是用它启动.
另外,最新的机器狗病毒,arp防火墙监控不到!!
穿破还原后,连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒,破坏GHOST文件,自动打开SERVER服务,局域内迅速传播!
如果已经被这个病毒迫害了系统,不能登陆,查看:
机器狗及其变种造成userinit.exe异常的解决方案
http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html
解决方法:
Userinit.exe修复工具
http://bbs.antidu.cn/thread-3602-1-1.html
机器狗病毒Userinit.exe免疫程序
http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html
猴子·jmbt - 2008-2-10 17:15:00
没有问题!我家电脑也是这样,瑞星敏感
猴子·jmbt - 2008-2-10 17:16:00
没有问题!我家电脑也是这样,瑞星敏感
© 2000 - 2024 Rising Corp. Ltd.