瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 替换系统程序的病毒与“windows文件保护”

1234   1  /  4  页   跳转

替换系统程序的病毒与“windows文件保护”

替换系统程序的病毒与“windows文件保护”

近期流行替换系统文件的病毒。目前常见的有:
1、替换userinit.exe
2、替换explorer.exe
上述文件是系统加载或用户登录windows界面时必须运行的系统程序,因而,替换这些程序的病毒比较难杀。
其实,系统本身具有保护系统程序不被篡改的防护机制————windows文件保护。
关于“windows文件保护”的详细介绍见:
http://support.microsoft.com/kb/222193
中毒后,系统程序被病毒替换,原因是用户没有开启“windows文件保护”,或未完全执行“windows文件保护”的步骤之一sfc/scannow。
最近,帮人解决一个usreinit.exe被病毒替换的中毒案例时,发现有这种“马大哈”现象(图1)。很尴尬哦!
查看其dllcache文件夹,发现其中只有212个文件(图2)。

搞掂病毒后,帮其完成“windows文件保护”。步骤如下:

1、点击“开始”、“运行”(图3)。
2、键入cmd,按回车(图4)。
3、键入sfc/scannow,按回车(图5)。
4、耐心等待windows文件保护扫描完成(图6)。
5、完成windows文件保护扫描后,再检查以下dllcache文件夹(受保护的系统文件缓存处),发现文件数目达3340个。这还算靠谱(图7)。
6、最后,再查看一下“组策略”中的相应设置(图8)。无误。完事。

图1

[用户系统信息]Opera/9.27 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:1427
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:11:31
描述:
预览信息:EXIF信息



最后编辑2008-04-22 03:23:29.013000000
分享到:
gototop
 

图2

附件附件:

下载次数:1288
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:11:50
描述:
预览信息:EXIF信息



gototop
 

图3

附件附件:

下载次数:1329
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:12:05
描述:
预览信息:EXIF信息



gototop
 

图4

附件附件:

下载次数:1279
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:12:20
描述:
预览信息:EXIF信息



gototop
 

图5

附件附件:

下载次数:1302
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:12:35
描述:
预览信息:EXIF信息



gototop
 

图6

附件附件:

下载次数:1314
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:12:53
描述:
预览信息:EXIF信息



gototop
 

图7

附件附件:

下载次数:1283
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:13:11
描述:
预览信息:EXIF信息



gototop
 

图8

附件附件:

下载次数:1393
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-21 12:13:36
描述:
预览信息:EXIF信息



gototop
 

沙发个
gototop
 

好像猫叔的头像是台独分子用的。
‘昨天我把QQ头像换成了这个,被批斗了一下午,郁闷死’
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT