最好的管理资料下载网站
userinit病毒原理及其清除和预防方
法userinit病毒原理及其清除和预防方法
最近有一个极其恶劣的病毒替换系统中的用户userinit.exe文件 网上一般称其为“机器狗”病毒或“IMG病毒” 下面就对这个病毒的原理和清除方法进行说明。
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序例如在建立网络链接和Windows壳的启动。进程文件为userinit或者userinit.exe进程名称是UserInitProcess。
正因为是一个操作系统的关键进程所有许多人能够鉴别出该进程为病毒并删除该病毒文件可是windows重启之后蓝屏。
该病毒一般会配合其它木马病毒一起出现该病毒的目的是利用uesinit.exe的目的是实现隐藏启动。动作流程并不复杂,比起熊猫烧香,AV终结者来说要简单不少,运行后首先会替换系统的Userinit. exe文件病毒接着在windows/system32/drivers文件夹中生成一个名为pcihdd. sys的驱动文件病毒正是借助这个驱动文件来实现还原软件和还原卡的^^的。我们知道还原软件和还原卡之所以能够保护硬盘数据是因为它具有很高的权限能够夺取硬盘的控制权在系统启动之前将硬盘中的数据还原而pcihdd, sys这个文件会和还原软件或还原卡抢夺硬盘的控制权大部分还原软件和还原卡的控制权都会被pcihdd. sys夺取它们就失去了还原数据的能力这样病毒就可以避开还原卡的在硬盘中安营扎寨了。
理解了这个病毒的原理那么清除这个病毒就比较简单了。
1用正常的userinit.exe文件替换被修改的userinit.exe文件。首先新建个文本输入内容
@echo offtaskkill /f /im userinit.exedel userinit.exe /f/q/a
将这个记事本保存为kill.bat双击运行。然后从其它干净的电脑拷贝一份userinit.exe文件将它放到system32目录中。
2册除pcihdd. sys文件该文件们于windows/system32/drivers文件夹中。用记事本打开们于windows/system32/drviers/etc的hosts文件在最后添加这样一行127.0.0. 1 www.downhot.com修改完后保存文件
3用360安全卫士配合杀软清除系统中残留的盗号木马病毒。
4为了更好的预防机器狗病毒我们可以用批处理将pcihdd. sys的文件夹设置为禁止修改。批处理md %systemroot%\system32\drivers\pcihdd. syscacls %systemroot%\system32\drivers\pcihdd. sys/e/p everyone:ncacls %systemroot%\system32\userinit /e/p erveryone:r
PPT模板http://ppt.downhot.com/最好的PPT模板下载网站
最好的管理资料下载网站
网上流传的各种清除工具原理亦基本如上。
对这个病毒的预防基本就是不让其修改Userinit.exe文件二是禁止修改pcihdd. sys三是开启windows文件保护这其实也是网吧中毒较多的原因网吧大多用精减修改过的windows操作系统系统文件保护功能被关闭 。《userinit病毒原理及其清除和预防方法》
PPT模板http://ppt.downhot.com/最好的PPT模板下载网站
pacificrack发布了7月最新vps优惠,新款促销便宜vps采用的是魔方管理,也就是PR-M系列。提一下有意思的是这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10,当然啦,常规Linux系统是必不可少的!1Gbps带宽、KVM虚拟、纯SSD raid10、自家QN机房洛杉矶数据中心...支持PayPal、...
racknerd从成立到现在发展是相当迅速,用最低的价格霸占了大部分低端便宜vps市场,虽然VPS价格便宜,但是VPS的质量和服务一点儿都不拉跨,服务器稳定、性能给力,尤其是售后方面时间短技术解决能力强,估计这也是racknerd这个品牌能如此成功的原因吧! 官方网站:https://www.racknerd.com 多种加密数字货币、信用卡、PayPal、支付宝、银联、webmoney,可...
vpsdime上了新产品系列-Windows VPS,配置依旧很高但是价格依旧是走低端线路。或许vpsdime的母公司Nodisto IT想把核心产品集中到vpsdime上吧,当然这只是站长个人的猜测,毕竟winity.io也是专业卖Windows vps的,而且也是他们自己的品牌。vpsdime是一家新上来不久的奇葩VPS提供商,实际是和backupspy以及crowncloud等都是同一家公司...