当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 清除导致XP系统反复重启的新网银木马

安全基础
IE浏览器防黑十大秘籍,黑客也没招
网络工程师讲解系统安全漏洞的形成和防治
清除导致XP系统反复重启的新网银木马
识破QQ欺骗网络地址的几种方法汇总
安全基础知识 细说暴库的原理与方法
排除无线突然中断故障实例
强搜天线 搜出WiFi世界的安全漏洞
网管应用技巧 内网安全十大策略说明
如何修改局域网内部打印机的IP地址
如何找出IIS中隐藏的网站
EFS加密技术的概念分析及一次解密经过
提高Windows XP系统安全性要关闭的10种服务
PHPBB 2.0.22 MOD版最新注入漏洞
修复Windows系统忘记密码的9个高招
用SockOnline软件轻松突破端口限制
安全基础知识 最强0到33600端口详解
执行文件方式加密FLASH文件的解密方法
网吧被入侵后的应对解决方法
网页“黑手”如何攻击你的Windows系统
不要让别人读了你的信 谈私密数据保护

No. « 1 2 3 4 »

技术文章搜索

关键字

安全基础 中的 清除导致XP系统反复重启的新网银木马

出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-19   浏览: 99 ::
收藏到网摘: n/a

近日,金山反病毒中心截获一特殊的木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案。

以下是该病毒的详细分析:

病毒名:Win32.Troj.BankJp.a.221184

这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。

病毒症状

1、生成文件: 

%windir%\mshelp.dll
%windir%\mspw.dll

2、添加服务 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power

3、主要危害

查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。

4、其它危害

使用驱动,进行键盘记录,威胁用户财产及隐私安全。

5、备份下列文件 

%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls

6、用病毒文件替换下列文件 

%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe

7、备份

会在根目录下创建文件夹RECYCLER..,存放病毒备份。

8、删除windows目录下的下列文件 

notepad.exe
calc.exe
userinit.exe
svchost.exe

9、该病毒会自动更新

因为病毒程序用自身替换了userinit.exe,重启系统时,会发现无法登录,反复注销。出现这个情况时,不必忙着重装系统,修复还是需要花一些功夫的,请参考以下解决方案:

方案一、使用WINPE光盘引导后修复

首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:

清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

重启后WinPE的启动时间比较长,请耐心等待。如图所示:
清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options

下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)
清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

下找到里面的Userinit键值,将其数据修改为系统默认的值“C:\WINDOWS\system32\UserInit.exe”如图所示:
清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择“复制到”,将默认路径X:\windows\system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:

清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:

清除导致XP系统反复重启的新网银木马_软晨学习网ruanchen.com整理

当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。

方案二:使用注册表编辑器编辑远程计算机的注册表

因方案一需要的WINPE光盘不是每个人都有,故提出使用注册表编辑器编辑远程计算机的注册表的方法。此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都有,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。

Windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。

步骤:

1.单击开始,运行,输入regedit,打开注册表编辑器。

2.单击文件菜单,连接网络注册表。

3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。

接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。

根据该病毒的行为,病毒将userinit.exe重命名为c_20911.nls,并从c:\windows\system32目录移动到了c:\windows\system32\dllcache\c_20911.nls,我们只需要使用copy命令,还原这个文件就可以。

命令为 

copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32
重启,你的系统就恢复了。