請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

**FYI** · 2010-01-15, 02:13 PM

請問有何簡單的方法砍掉藏於:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

之下的病毒?

小弟遙控遠方親友的電腦, 以Autoruns 檢查出以上機碼會執行藏於System32 之下的病毒, 但病毒顯然已經躲藏於記憶體, 所以無法刪除, 進入安全模式則會導致鍵盤沒反應, 由於親友手邊沒有適當的開機光碟可用, 小弟也正在想除了修復主控台以外的方法, 若是小弟在現場, 則一切好解決, 製作一支DOS 開機碟再執行NTFS4DOS 就足矣, 不用下載檔案龐大的UBCD 或PE 光碟, 但現在小弟只能以電話指導, 所以想請網友提供更簡單的方法, 謝謝

話說小弟自己也不太熟悉修復主控台, 實在很慚愧

**warzero** · 2010-01-15, 07:02 PM

原理是將病毒從記憶體移除先，只要記憶體內沒有病毒的存在，就可以直接刪除掉病毒檔。
對於常駐型的病毒可考慮用 Process Explorer 尋找出來，並 Close Handle 掉從記憶體釋放，再刪除。
如果遇到可再生的情況(有多個病毒進程在互補)，可考慮用 suspend 方式來休眠全部"病毒進程"，並刪除。

更簡單的方法，應可嘗試用 unlocker 來下一次開機時刪除病毒檔。
這個小弟也沒試過，效果不保證。理論是刪除速度快過病毒執行就行。(逃~

**pavo** · 2010-01-15, 10:51 PM

遠端我只用來幫開桌面捷徑不見的程式

電話往往風花雪月梅有搔到癢處.還讓火氣上升

有時候人還是比較好用 .雖然有時後徵不到理想的人

屏東的我或許可以幫的上忙.不管是否會成為經驗值之一

=======================

雖然有點馬後炮不過NONAME XPE 裡面有 TeamViewer 4.0.5381

下次出遠處的機子可以考慮隨付 BIOS設為光碟開機.這種是應該就可以解決了

**FYI** · 2010-01-16, 05:19 AM

找來找去, 結果還是修復主控台最單純, 直接從Windows CD 執行即可, 不過有一些限制, 還好已知病毒躲在%SystemRoot%\system32 資料夾, 所以移除沒問題

說明適用於進階使用者的 Windows XP 修復主控台

修復主控台的限制
當您使用「Windows 修復主控台」時，僅能使用下列項目：

根資料夾
您目前所登入 Windows 安裝的 %SystemRoot% 資料夾和子資料夾
[Cmdcons] 資料夾
卸除式媒體磁碟機，例如 CD 光碟機或 DVD 光碟機

此外, 有些專家推薦以ComboFix 掃描系統, 而除了已經被PC-cillin 併購的HijackThis 之外, Malwarebytes Anti-Malware 也是類似的惡意軟體掃描工具, 所以小弟也提供相關連結以供參考, 如果手邊沒有Windows CD, 則以下ComboFix 文章有介紹免CD 安裝修復主控台的方法

A guide and tutorial on using ComboFix
How to install and use the Windows XP Recovery Console
[免費] Malwarebytes Anti-Malware 惡意程式掃毒、清除工具　　　【重灌狂人】
Microsoft Windows 惡意軟體移除工具

**warzero** · 2010-01-16, 08:31 AM

不過進入修復主控台一定要重開機對吧？ (不管是從光碟還是硬碟啟動)
這樣一來不就做不到遙控了？自己認為讓完全不懂的使用者"親手"操作危險性更高...

**FYI** · 2010-01-17, 06:52 PM

如果有多一點時間準備的話, 下載救援光碟當然是比較不會出錯的方法, 甚至自行建立BartPE, 操作圖形介面也都比下指令來得輕鬆愉快, 不過既然已經確定目標, 而且條件符合, 手邊又沒有救援光碟的話, 那麼修復主控台確實是最簡便迅速的方法, 雖然無法直接遙控, 但是以其他方法 (Skype, MSN, VoIP...) 傳授機宜, 同樣可以達到遙控的目的, 木馬已上傳, 請看 "木馬樣本 hixga.exe - PCZONE 討論區"

WinPE!? Windows XP-on-a-CD!? 您能想像WinXP 帶著到處走嗎? - PCZONE 討論區

**star000star** · 2010-01-22, 04:30 AM

從遠端處理的話，我認為是該優先找出系統中所有異常項，包括Run、Services…etc，這需要透過類似Autorun、SREng、HijackThis…等等的分析工具達成。

而後當惡意程式使用的啟動項、進程、模組全部查出來後，在透過腳本工具例如EFix、Combofix、OTM、The Avenger…等等的工具，將文字腳本複製貼上程式就會全自動開始運行清除，如果惡意程式在記憶體中運作，腳本工具會視機制調用例如強制重啟清空記憶體、調用Ring0工具強制刪除。倒不必使用到DOS、PE等系統，單純的複製貼上腳本動作也不怕完全不懂得User操作錯誤囉。

例如隨便舉例一個EFix清除腳本，遠端的User只要把他貼上去EFix就會自己開始清了。
MOVE FILE::
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
C:\WINDOWS\system32\EA820B\krnln.fnr
C:\WINDOWS\system32\EA820B\eAPI.fne
C:\WINDOWS\system32\EA820B\shell.fne
C:\WINDOWS\system32\EA820B\dp1.fne
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE

mod reg::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"1308D0"=-

REBOOT::

至於樓主提到的部份腳本就可以這樣寫，雖然執行EFix就會自動恢復系統預設，不必要特地多寫此條。
mod reg::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

MOVE FILE::
C:\WINDOWS\system32\hixga.exe

REBOOT::

當然要達成順利清除的前提，都是要系統中惡意程式位子全部找出來才行，否則修改了又被改回來還是一樣的。

**FYI** · 2010-01-22, 05:49 AM

Google "EFix userinit", 看來EFix 有針對Userinit 這個鍵值特別處理

腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下

小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?

**star000star** · 2010-01-22, 06:23 PM

作者：FYI

Google "EFix userinit", 看來EFix 有針對Userinit 這個鍵值特別處理
腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下
小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?

單用批次的話清除上可能多少會有問題，例如Ring3下的API Hook好像也可以達到部份屏障效果。這時候如果使用安全工具的會就會有他的調用機制，細節可能得請您自己詢問作者了，這我不太瞭解。

EFix的話預設一定會進行備份，避免什麼意外發生還有備援方案；掃描系統方面也預設都會進行，腳本跑過之後需確認到底有沒有刪除到，這時候產生的分析日誌就很好用囉。

如果要單單運行清除腳本，您可以試試OTM或者The Avenger這兩款工具，不過後者是在Ring 0下運作的。

**FYI** · 2010-01-22, 07:06 PM

其實小弟的用意是如果預先得知該清除哪些檔案, 那就寫個批次檔於修復主控台之下執行, 然而如果木馬作者有辦法在登錄檔內執行腳本, 從遠端下載木馬並執行, 那麼修復主控台當然是不夠的

作者：star000star

例如隨便舉例一個EFix清除腳本，遠端的User只要把他貼上去EFix就會自己開始清了。
MOVE FILE::
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
C:\WINDOWS\system32\EA820B\krnln.fnr
C:\WINDOWS\system32\EA820B\eAPI.fne
C:\WINDOWS\system32\EA820B\shell.fne
C:\WINDOWS\system32\EA820B\dp1.fne
C:\WINDOWS\system32\EA820B\U7-0CF50.EXE