科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道清除导致XP系统反复重启的新网银木马

清除导致XP系统反复重启的新网银木马

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

金山反病毒中心截获一特殊的木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案

来源:论坛整理 2008年7月30日

关键字: 安全防范 系统安全 木马

  • 评论
  • 分享微博
  • 分享邮件
 近日,金山反病毒中心截获一特殊的木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案。 

  以下是该病毒的详细分析: 

  病毒名:Win32.Troj.BankJp.a.221184 

  这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。 

  病毒症状 

  1、生成文件: 

  %windir%/mshelp.dll 

  %windir%/mspw.dll 

  2、添加服务 

  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/power 

  3、主要危害 

  查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。 

  4、其它危害 

  使用驱动,进行键盘记录,威胁用户财产及隐私安全。 

  5、备份下列文件 

  %system%/userinit.exe -> %system%/dllcache/c_20911.nls 

  %windir%/notepad.exe -> %system%/dllcache/c_20601.nls 

  %system%/calc.exe -> %system%/dllcache/c_20218.nls 

  6、用病毒文件替换下列文件 

  %system%/notepad.exe 

  %windir%/calc.exe 

  %system%/userinit.exe 

  %system%/dllcache/notepad.exe 

  %system%/dllcache/calc.exe 

  %system%/dllcache/userinit.exe 

  7、备份 

  会在根目录下创建文件夹RECYCLER..,存放病毒备份。 

8、删除windows目录下的下列文件

  notepad.exe

  calc.exe

  userinit.exe

  svchost.exe

  9、该病毒会自动更新

  因为病毒程序用自身替换了userinit.exe,重启系统时,会发现无法登录,反复注销。出现这个情况时,不必忙着重装系统,修复还是需要花一些功夫的,请参考以下解决方案:

  方案一、使用WINPE光盘引导后修复

  首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:

  

1



  重启后WinPE的启动时间比较长,请耐心等待。如图所示:

  

2



  进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:

  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/Image File Execution Options

  下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)

  

3



  此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项

  HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

  下找到里面的Userinit键值,将其数据修改为系统默认的值“C:/WINDOWS/system32/UserInit.exe”如图所示:

  

4



  接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择“复制到”,将默认路径X:/windows/system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:

  

5



  如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:

  

6



  当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。

  方案二:使用注册表编辑器编辑远程计算机的注册表

  因方案一需要的WINPE光盘不是每个人都有,故提出使用注册表编辑器编辑远程计算机的注册表的方法。此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都有,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。

  Windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。

  步骤:

  1.单击开始,运行,输入regedit,打开注册表编辑器。

  2.单击文件菜单,连接网络注册表。

  3.输入远程计算的IP地址或//机器名,连接成功后,输入远程计算机的管理员用户名密码。

  接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。

  根据该病毒的行为,病毒将userinit.exe重命名为c_20911.nls,并从c:/windows/system32目录移动到了c:/windows/system32/dllcache/c_20911.nls,我们只需要使用copy命令,还原这个文件就可以。

  命令为

  copy c:/windows/system32/dllcache/c_20911.nls c:/windows/system32

  重启,你的系统就恢复了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章