請問有何簡單的方法砍掉藏於:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
之下的病毒?

小弟遙控遠方親友的電腦, 以Autoruns 檢查出以上機碼會執行藏於System32 之下的病毒, 但病毒顯然已經躲藏於記憶體, 所以無法刪除, 進入安全模式則會導致鍵盤沒反應, 由於親友手邊沒有適當的開機光碟可用, 小弟也正在想除了修復主控台以外的方法, 若是小弟在現場, 則一切好解決, 製作一支DOS 開機碟再執行NTFS4DOS 就足矣, 不用下載檔案龐大的UBCD 或PE 光碟, 但現在小弟只能以電話指導, 所以想請網友提供更簡單的方法, 謝謝

話說小弟自己也不太熟悉修復主控台, 實在很慚愧

贊助商連結

原理是將病毒從記憶體移除先，只要記憶體內沒有病毒的存在，就可以直接刪除掉病毒檔。
對於常駐型的病毒可考慮用 Process Explorer 尋找出來，並 Close Handle 掉從記憶體釋放，再刪除。
如果遇到可再生的情況(有多個病毒進程在互補)，可考慮用 suspend 方式來休眠全部"病毒進程"，並刪除。

更簡單的方法，應可嘗試用 unlocker 來下一次開機時刪除病毒檔。
這個小弟也沒試過，效果不保證。理論是刪除速度快過病毒執行就行。(逃~

遠端我只用來幫開桌面捷徑不見的程式 :jump2:

電話往往風花雪月梅有搔到癢處.還讓火氣上升

有時候人還是比較好用 .雖然有時後徵不到理想的人 :king:
屏東的我或許可以幫的上忙.不管是否會成為經驗值之一 :D

=======================

雖然有點馬後炮 不過NONAME XPE 裡面有 TeamViewer 4.0.5381

下次出遠處的機子可以考慮隨付 BIOS設為光碟開機.這種是應該就可以解決了

找來找去, 結果還是修復主控台最單純, 直接從Windows CD 執行即可, 不過有一些限制, 還好已知病毒躲在%SystemRoot%\system32 資料夾, 所以移除沒問題

說明適用於進階使用者的 Windows XP 修復主控台 (http://support.microsoft.com/kb/314058/)

修復主控台的限制
當您使用「Windows 修復主控台」時，僅能使用下列項目：

根資料夾
您目前所登入 Windows 安裝的 %SystemRoot% 資料夾和子資料夾
[Cmdcons] 資料夾
卸除式媒體磁碟機，例如 CD 光碟機或 DVD 光碟機
此外, 有些專家推薦以ComboFix 掃描系統, 而除了已經被PC-cillin 併購的HijackThis 之外, Malwarebytes Anti-Malware (http://www.malwarebytes.org) 也是類似的惡意軟體掃描工具, 所以小弟也提供相關連結以供參考, 如果手邊沒有Windows CD, 則以下ComboFix 文章有介紹免CD 安裝修復主控台的方法

A guide and tutorial on using ComboFix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
How to install and use the Windows XP Recovery Console (http://www.bleepingcomputer.com/tutorials/tutorial117.html)
[免費] Malwarebytes Anti-Malware 惡意程式掃毒、清除工具　　　【重灌狂人】 (http://briian.com/?p=6736)
Microsoft Windows 惡意軟體移除工具 (http://support.microsoft.com/kb/890830/)

不過進入修復主控台一定要重開機對吧？ (不管是從光碟還是硬碟啟動)
這樣一來不就做不到遙控了？自己認為讓完全不懂的使用者"親手"操作危險性更高...

如果有多一點時間準備的話, 下載救援光碟當然是比較不會出錯的方法, 甚至自行建立BartPE, 操作圖形介面也都比下指令來得輕鬆愉快, 不過既然已經確定目標, 而且條件符合, 手邊又沒有救援光碟的話, 那麼修復主控台確實是最簡便迅速的方法, 雖然無法直接遙控, 但是以其他方法 (Skype, MSN, VoIP...) 傳授機宜, 同樣可以達到遙控的目的, 木馬已上傳, 請看 "木馬樣本 hixga.exe - PCZONE 討論區 (http://www.pczone.com.tw/thread/28/149977/)"

WinPE!? Windows XP-on-a-CD!? 您能想像WinXP 帶著到處走嗎? - PCZONE 討論區 (http://www.pczone.com.tw/thread/3/55925/)

從遠端處理的話，我認為是該優先找出系統中所有異常項，包括Run、Services…etc，這需要透過類似Autorun、SREng、HijackThis…等等的分析工具達成。

而後當惡意程式使用的啟動項、進程、模組全部查出來後，在透過腳本工具例如EFix、Combofix、OTM、The Avenger…等等的工具，將文字腳本複製貼上程式就會全自動開始運行清除，如果惡意程式在記憶體中運作，腳本工具會視機制調用例如強制重啟清空記憶體、調用Ring0工具強制刪除。倒不必使用到DOS、PE等系統，單純的複製貼上腳本動作也不怕完全不懂得User操作錯誤囉。

例如隨便舉例一個EFix清除腳本，遠端的User只要把他貼上去EFix就會自己開始清了。
MOVE FILE::
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
C:\WINDOWS\system32\EA820B\krnln.fnr
C:\WINDOWS\system32\EA820B\eAPI.fne
C:\WINDOWS\system32\EA820B\shell.fne
C:\WINDOWS\system32\EA820B\dp1.fne
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE

mod reg::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"1308D0"=-

REBOOT::


至於樓主提到的部份腳本就可以這樣寫，雖然執行EFix就會自動恢復系統預設，不必要特地多寫此條。
mod reg::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

MOVE FILE::
C:\WINDOWS\system32\hixga.exe

REBOOT::

當然要達成順利清除的前提，都是要系統中惡意程式位子全部找出來才行，否則修改了又被改回來還是一樣的。

Google "EFix userinit", 看來EFix (http://reinfors.blogspot.com) 有針對Userinit 這個鍵值特別處理

腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下

小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?

Google "EFix userinit", 看來EFix (http://reinfors.blogspot.com) 有針對Userinit 這個鍵值特別處理
腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下
小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?
單用批次的話清除上可能多少會有問題，例如Ring3下的API Hook好像也可以達到部份屏障效果。這時候如果使用安全工具的會就會有他的調用機制，細節可能得請您自己詢問作者了，這我不太瞭解。

EFix的話預設一定會進行備份，避免什麼意外發生還有備援方案；掃描系統方面也預設都會進行，腳本跑過之後需確認到底有沒有刪除到，這時候產生的分析日誌就很好用囉。

如果要單單運行清除腳本，您可以試試OTM或者The Avenger這兩款工具，不過後者是在Ring 0下運作的。

其實小弟的用意是如果預先得知該清除哪些檔案, 那就寫個批次檔於修復主控台之下執行, 然而如果木馬作者有辦法在登錄檔內執行腳本, 從遠端下載木馬並執行, 那麼修復主控台當然是不夠的

例如隨便舉例一個EFix清除腳本，遠端的User只要把他貼上去EFix就會自己開始清了。
MOVE FILE::
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
C:\WINDOWS\system32\EA820B\krnln.fnr
C:\WINDOWS\system32\EA820B\eAPI.fne
C:\WINDOWS\system32\EA820B\shell.fne
C:\WINDOWS\system32\EA820B\dp1.fne
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE