瑞星卡卡安全论坛

近期流行替换系统文件的病毒。目前常见的有：
1、替换userinit.exe
2、替换explorer.exe
上述文件是系统加载或用户登录windows界面时必须运行的系统程序，因而，替换这些程序的病毒比较难杀。
其实，系统本身具有保护系统程序不被篡改的防护机制————windows文件保护。
关于“windows文件保护”的详细介绍见：
http://support.microsoft.com/kb/222193
中毒后，系统程序被病毒替换，原因是用户没有开启“windows文件保护”，或未完全执行“windows文件保护”的步骤之一sfc/scannow。
最近，帮人解决一个usreinit.exe被病毒替换的中毒案例时，发现有这种“马大哈”现象（图1）。很尴尬哦！
查看其dllcache文件夹，发现其中只有212个文件（图2）。

搞掂病毒后，帮其完成“windows文件保护”。步骤如下：

1、点击“开始”、“运行”（图3）。
2、键入cmd，按回车（图4）。
3、键入sfc/scannow，按回车（图5）。
4、耐心等待windows文件保护扫描完成（图6）。
5、完成windows文件保护扫描后，再检查以下dllcache文件夹（受保护的系统文件缓存处），发现文件数目达3340个。这还算靠谱（图7）。
6、最后，再查看一下“组策略”中的相应设置（图8）。无误。完事。

图1

[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)


附件: 1558472008421115913.jpg

图2

附件: 1558472008421115931.jpg

图3

附件: 1558472008421115947.jpg

图4

附件: 1558472008421120002.jpg

图5

附件: 1558472008421120017.jpg

图6

附件: 1558472008421120035.jpg

图7

附件: 1558472008421120053.jpg

图8

附件: 1558472008421120118.jpg

沙发个

好像猫叔的头像是台独分子用的。
‘昨天我把QQ头像换成了这个，被批斗了一下午，郁闷死’

猫叔啊，我盗版的系统啊，被你玩死了~~~~~


55555555555555555555555555555555555555


哪儿有CD啊。唉~~~

猫叔，我检测一个文件要按取消，放弃么？放弃~

3300多文件要点6600多下...

还好，不是说我昨晚遇到的SVCHOST.EXE的！乍一看你的标题，还以为偶昨晚又弄错了咧。

近期流行替换系统文件的病毒。目前常见的有：
1、替换userinit.exe（最近我的电脑就中了，我是在PE环境下替换的）
2、替换explorer.exe（我舍友的电脑中这个毒了，我是用金山毒霸的清理专家）

引用:

【日不懂啊的贴子】猫叔啊，我盗版的系统啊，被你玩死了~~~~~ 55555555555555555555555555555555555555 哪儿有CD啊。唉~~~ 猫叔，我检测一个文件要按取消，放弃么？放弃~ 3300多文件要点6600多下... ………………

你没GHOST备份过？？？

恢复一下呗

谁让你这么好奇去弄了

先看看里面有没文件嘛

有很多，就不需要试了

没什么备份，才要去折腾呢。

汗死了

引用:

【baohe的贴子】近期流行替换系统文件的病毒。目前常见的有： 1、替换userinit.exe 2、替换explorer.exe 上述文件是系统加载或用户登录windows界面时必须运行的系统程序，因而，替换这些程序的病毒比较难杀。 其实，系统本身具有保护系统程序不被篡改的防护机制————windows文件保护。 关于“windows文件保护”的详细介绍见： 中毒后，系统程序被病毒替换，原因是用户没有开启“windows文件保护”，或未完全执行“windows文件保护”的步骤之一sfc/scannow。 最近，帮人解决一个usreinit.exe被病毒替换的中毒案例时，发现有这种“马大哈”现象（图1）。很尴尬哦！ 查看其dllcache文件夹，发现其中只有212个文件（图2）。 搞掂病毒后，帮其完成“windows文件保护”。步骤如下： 1、点击“开始”、“运行”（图3）。 2、键入cmd，按回车（图4）。 3、键入sfc/scannow，按回车（图5）。 4、耐心等待windows文件保护扫描完成（图6）。 5、完成windows文件保护扫描后，再检查以下dllcache文件夹（受保护的系统文件缓存处），发现文件数目达3340个。这还算靠谱（图7）。 6、最后，再查看一下“组策略”中的相应设置（图8）。无误。完事。 图1 [用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn) ………………

JLF是谁？

引用:

【天月来了的贴子】 你没GHOST备份过？？？ 恢复一下呗 谁让你这么好奇去弄了 先看看里面有没文件嘛 有很多，就不需要试了 没什么备份，才要去折腾呢。 汗死了 ………………

我弄的玩的

引用:

【姑苏残月的贴子】好像猫叔的头像是台独分子用的。 ‘昨天我把QQ头像换成了这个，被批斗了一下午，郁闷死’ ………………

不知道有这一说。今天一上来看到猫版的心头像有点异样感觉：红星右上角的白园点好象有色么寓意。（一个中国，一个...什么的？五星的大陆与色么白色的东东并存？)

引用:

【日不懂啊的贴子】猫叔啊，我盗版的系统啊，被你玩死了~~~~~ 55555555555555555555555555555555555555 哪儿有CD啊。唉~~~ 猫叔，我检测一个文件要按取消，放弃么？放弃~ 3300多文件要点6600多下... ………………

同感.

引用:

【日不懂啊的贴子】猫叔啊，我盗版的系统啊，被你玩死了~~~~~ 55555555555555555555555555555555555555 哪儿有CD啊。唉~~~ 猫叔，我检测一个文件要按取消，放弃么？放弃~ 3300多文件要点6600多下... ………………

cmd 啊！老大！命令提示符环境————你进不去？

引用:

【姑苏残月的贴子】好像猫叔的头像是台独分子用的。 ‘昨天我把QQ头像换成了这个，被批斗了一下午，郁闷死’ ………………

1、离题了。这个帖子不讨论头像问题。
2、不要那么疑神疑鬼。一个光点，为的是增加立体渲染效果，怎么就解读为台独？大国民风范————哪里去了？我很反感那种整天唧唧歪歪的小国寡民心态。

引用:

【两个铁球的贴子】 JLF是谁？ ………………

家乐福

猫叔又跟您学习了~~

引用:

【baohe的贴子】 cmd  啊！老大！命令提示符环境————你进不去？ ………………

猫叔啊，我不会这个也不懂吧

是你那个命令
sfc/scannow

引用:

【日不懂啊的贴子】 引用: 【baohe的贴子】 cmd  啊！老大！命令提示符环境————你进不去？ ……………… 猫叔啊，我不会这个也不懂吧 是你那个命令 sfc/scannow ………………

夸张了吧？
您的系统文件都被替换过了？汗！
我不相信。
最好截图贴上。看看到底是怎么回事。

引用:

【baohe的贴子】 cmd  啊！老大！命令提示符环境————你进不去？ ………………

他不是问CD和CMD的区别

他是说哪儿有CD光盘，他要去重装系统了。

天月就是聪明.....

就是老说找不到文件，跟我要CD光盘~~~

引用:

【天月来了的贴子】 引用: 【baohe的贴子】 cmd  啊！老大！命令提示符环境————你进不去？ ……………… 他不是问CD和CMD的区别 他是说哪儿有CD光盘，他要去重装系统了。 ………………

原来如此？
不知是“日不懂啊”表达不清，还是我老年痴呆了。
如果确如你的理解，“日不懂啊”的系统重装算了。省事。

引用:

【baohe的贴子】 引用: 【天月来了的贴子】 引用: 【baohe的贴子】 cmd  啊！老大！命令提示符环境————你进不去？ ……………… 他不是问CD和CMD的区别 他是说哪儿有CD光盘，他要去重装系统了。 ……………… 原来如此？ 不知是“日不懂啊”表达不清，还是我老年痴呆了。 如果确如你的理解，“日不懂啊”的系统重装算了。省事。 ………………

是我表达不清，呵呵~~

只有我的闺中密友（天月）才能听懂


不重装

引用:

【天月来了的贴子】 家乐福 ………………

拚音哟，我还以为又弄啥外文咧。