我中毒了，红伞能查但不能杀，郁闷啊

显示全部楼层 · 发表于 2008-4-18 13:14:50

怀疑是中毒，并且怀疑有dll注入守护~！就是说每次开机都释放一个假的userinit.exe~~~~
用HIPS看看能不能发现是什么东西替换了userinit.exe，如果要替换，估计注入的是winlogon这类启动很早的进程~！

用Autoruns查看一下启动加载的文件情况！

显示全部楼层 · 发表于 2008-4-18 13:16:48

你用的userinit版本和我们的不一样，所以MD5值肯定不一样，估计你现在在使用XP SP3 RC版本吧，所以userinit的版本和文件操作方式略有不同，建立空回收站文件夹并不能算是病毒，请看截图。

从你反映的能看见生产商来看，应该没有中机器狗。

[ 本帖最后由 duanmailun 于 2008-4-18 13:23 编辑 ]

显示全部楼层 · 发表于 2008-4-18 13:16:49

系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的

最近电脑突然卡，发现杀毒软件老是报告userinit.exe被修改
如果打开C:\WINDOWS\system32文件夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。
病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。
userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束
svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。
通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.
另外，最新的机器狗病毒，arp防火墙监控不到!!
穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！

如果已经被这个病毒迫害了系统，不能登陆，查看：
机器狗及其变种造成userinit.exe异常的解决方案
http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html
解决方法：
Userinit.exe修复工具
http://bbs.antidu.cn/thread-3602-1-1.html
机器狗病毒Userinit.exe免疫程序
http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html Zonga告诉大家解决方法：
利用注册表法::(转载请注明来自本空间http://hi.baidu.com/nuanruohan)

以下分二部分，一部分是批处理，一部分是注册表！请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1

md %systemroot%\system32\1\2

copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f

echo y|cacls c:\windows\system32\1 /p everyone:n

md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe >nul 2>nul

md c:\WINDOWS\DiskMan32.exe >nul 2>nul

md c:\WINDOWS\IGM.exe >nul 2>nul

md c:\WINDOWS\Kvsc3.exe >nul 2>nul

md c:\WINDOWS\lqvytv.exe >nul 2>nul

md c:\WINDOWS\MsIMMs32.exe >nul 2>nul

md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul

md %windir%\system32\drivers\svchost.exe >nul 2>nul

md c:\WINDOWS\system32\a.exe >nul 2>nul

md c:\WINDOWS\upxdnd.exe >nul 2>nul

md c:\WINDOWS\WinForm.exe >nul 2>nul

md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul

md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul

md c:\WINDOWS\cmdbcs.exe >nul 2>nul

md c:\WINDOWS\dbghlp32.exe >nul 2>nul

md c:\WINDOWS\nvdispdrv.exe >nul 2>nul

md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul

md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul

md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul

md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul

echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是注册表部分！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007

另存为*.reg

运行以上两个文件,立即搞定.

3.防userinit.exe修改方法:(转载请注明来自本空间http://hi.baidu.com/nuanruohan)

第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,

第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,

为:C:\WINDOWS\system32\mylogin.exe,

注意键值后面有个英文逗号

第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限

显示全部楼层 · 发表于 2008-4-18 13:17:04

这个文件的MD5和我系统中的不一样
估计是有问题

显示全部楼层 · 发表于 2008-4-18 15:12:07

这是我的系统版本
谢谢LS几位了，我再好好查查看

[ 本帖最后由 jeccci5 于 2008-4-18 15:14 编辑 ]

显示全部楼层 · 发表于 2008-4-18 16:46:06

VirSCAN.org Scanned Report :
Scanned time : 2008/04/18 16:38:07 (CST)
Scanner results: 全部的杀毒软件报告没有发现病毒!
File Name    : userinit.rar
File Size    : 11927 byte
File Type    : RAR archive data, v1d, os
MD5          : 4c17504b5d6aaaae430cddaa950df431
SHA1          : 20c7227ae840067fc46317ee3ebbaf25af1b8079
Online report  : http://virscan.org/report/83f345ea1ed665a5ae3e00c16a6b1071.html

Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    3.5.0.15       2008.04.17       2008-04-17  5.81 -
安博士V3    2008.04.18.01 2008.04.18       2008-04-18  2.48 -
AntiVir       7.8.0.6       7.0.3.183       2008-04-18  15.28  -
Arcavir       1.0.4          200804171624    2008-04-17  8.53 -
AVAST       1.0.8          080417-0       2008-04-17  12.57  -
AVG          7.5.51.442    269.23.1/1384    2008-04-17  13.83  -
BitDefender 7.60825.1157634 7.18515          2008-04-18  23.69  -
CA (VET)    9.0.0.143    31.3.5708       2008-04-18  11.95  -
ClamAV       0.92          6817             2008-04-18  0.01 -
Comodo       2.11          2.0.0.499       2008-04-18  1.80 -
CP Secure    1.1.0.715    2008.04.18       2008-04-18  23.62  -
Dr.WEB       4.44.0.9170    2008.04.17       2008-04-17  23.58  -
ewido       4.0.0.2       2008.04.17       2008-04-17  3.61 -
F-PROT       4.4.1.52       20080417       2008-04-17  7.84 -
F-SECURE    5.51.6100    2008.04.18.03    2008-04-18  0.07 -
飞塔          2.81-3.11    8.986          2008-04-18  3.72 -
ViRobot       20080417       2008.04.17       2008-04-17  1.74 -
IKARUS       T3.1.01.26    2008.04.13.70597  2008-04-13  13.59  -
江民杀毒    10.00.650    2008.04.18       2008-04-18  2.06 -
卡巴斯基    5.5.10       2008.04.18       2008-04-18  41.98  -
金山毒霸    2007.6.20.249 2008.4.18       2008-04-18  2.75 -
迈克菲       5.2.00       5276             2008-04-17  8.67 -
Microsoft    1.3408       2008.04.18       2008-04-18  8.18 -
MKS_VIR       2.01          2008.04.17       2008-04-17  13.19  -
NORMAN       5.91.10       5.90             2008-04-11  20.09  -
熊猫卫士    9.04.03.0001 2008.04.17       2008-04-17  2.92 -
趋势          8.500-1001    5.226.06       2008-04-17  0.04 -
Prevx       V2             20080418       2008-04-18  5.05 -
QuickHeal    9.00          2008.04.17       2008-04-17  2.70 -
瑞星          20.0          20.40.40.00    2008-04-18  2.31 -
SOPHOS       2.72.0       4.28             2008-04-14  13.41  -
赛门铁克    1.3.0.24       20080417.001    2008-04-17  0.28 -
nProtect    2008-04-18.00 1402731          2008-04-18  6.61 -
The Hacker    6.2.92       v00282          2008-04-17  1.61 -
VBA32       3.12.6.4       20080417.2138    2008-04-17  3.60 -
VirusBuster 4.3.19:9       9.124.1/11.0    2008-04-17  3.64 -

显示全部楼层 · 发表于 2008-4-18 17:56:41

虽然可疑，但看来也不是什么病毒
现在得好好找找假回收站目录是哪个文件生成的了

显示全部楼层 · 发表于 2008-4-18 17:57:58

或者是病毒文件已经被删除，假回收站是因为扫描注册表时，注册表自动生成的

显示全部楼层 · 发表于 2008-4-18 18:01:10

还真是这么回事，病毒已经杀了
但病毒在注册表中驻留的recycler值在作怪，谢谢你们了，这下我搞明白了

显示全部楼层 · 发表于 2008-4-18 18:28:03

最后总结下这次中毒事件的全部处理过程，因为我以前中过病毒，把我电脑的资料全删除了，因此对病毒很是害怕。
一开始时是发先发现F盘图标被篡改，autorun.inf文件均不能删除。
后用各木马、绿色软件、红伞全部扫描了一次，清除了一些可以的注册表被篡改的痕迹，并顺便杀了2条病毒（一个是autocad病毒），一个是在E盘的windows优化大师下发现的病毒。
重启之后进入安全模式，把autorun.inf文件全部删除，并在组策略里关闭自动运行。
接着重启动进入正常模式，发现C盘根目录下多了一个RECYCLER目录，内有2个子目录，为了保护C盘安全，把RVS影子开启了系统保护模式。
接着在安全模式下用SREng扫描了下电脑，上报病毒援助区，高手证明没问题，但建议对userinit.exe进行MD5检测。检测时发现该文件不可操作。
并在毒霸论坛下载了个fixuserinit.exe文件。在安全模式下对userinit.exe文件进行修复，但该版本的userinit.exe在安全模式下可以读出版本签名属性，却在windows正常模式下读不出，估计是版本问题，该版本是5.2****版本。
重启之后进入安全模式，读出注册表，找到两个自动建立RECYCLER的值，删除，存盘重启。
ok!

[ 本帖最后由 jeccci5 于 2008-4-18 18:41 编辑 ]

[求助] 我中毒了，红伞能查但不能杀，郁闷啊

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源