如果修改了注册表中userinit的键值
最近几天每次登录时,瑞星都会报告userinit不按规则使用API,
接着就逮住病毒程序Hddguard.dll,杀之。
再启动瑞星卡卡发现一个流氓恶意软件!
Hddguard.dll可能是带“木马”登录文件“userinit”释放出来的。
昨天下机时使用瑞星卡卡助手将userinit禁用,今天启动出现“登录”--“注销”死循环,
在安全模式下启动也是如此……
网上一查才知userinit是不能禁用的,也查到一些相关网友的建议,我是这样处理的:
由于C盘是NTFS格式,只能在控制台修复时可以看到C盘,手头的XP启动盘经过
若干年已经罢工了,手头还有只旧USB口活动硬盘盒可用,只好摘下硬盘装上,连到
另一台机器上:
把C:\windows\system32\config目录下的software改为software.bak算作备份,
再把C:\windows\repair下的software文件复制到C:\windows\system32\config下
然后装机,在安全模式下启动,OK--好了!找到最近一次导出的注册表文件还原,
重新正常启动,一切OK了!(software.bak可能没有用了?)
(若没有做注册表备份的习惯,最好运行ras瑞星卡卡助手,做一些修复。
注意,若安装目录下的Ras不能运行,可以改个名字就可骗过木马,
若瑞星监控全部被木马关闭,防火墙也被木马干掉时,修改Ras.exe!
比如改为aas.exe,瑞星卡卡助手Ras.exe是很能干的……
Msskye对应Msaclue.sys等,通过Ras的高级功能—系统启动项管理—驱动
列表可以找到并禁用;
----能查出由userinit释放和潜伏在DLLcache中并在某种条件下释放到
C:\windows\system32目录下的所有木马或可疑文件!重启即可杀掉一部分)
用DLLcache中的userinit覆盖C:\windows\system32下的userinit是个好办法,
这里感谢找到该办法并发帖的网友----谢谢!
重启后,Hddguard.dll不再出现了,证实了它是有毒userinit生下的,
然后,把DLLcache中潜伏的如下木马士兵,手动杀之!
3auhad
Auhad
Gnaixnauhqq
Gnolnait
Hjxr
Ijiq
Ijougiemnaw
Iqnauhc
Jsqc
Naijiod
Naixuhz
Nauhgnem
Niluw
Uohsom
utgnehz
