請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

第 1 頁,共 2 頁 1 2 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 11 筆
  1. #1
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295

    請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    請問有何簡單的方法砍掉藏於:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    之下的病毒?

    小弟遙控遠方親友的電腦, 以Autoruns 檢查出以上機碼會執行藏於System32 之下的病毒, 但病毒顯然已經躲藏於記憶體, 所以無法刪除, 進入安全模式則會導致鍵盤沒反應, 由於親友手邊沒有適當的開機光碟可用, 小弟也正在想除了修復主控台以外的方法, 若是小弟在現場, 則一切好解決, 製作一支DOS 開機碟再執行NTFS4DOS 就足矣, 不用下載檔案龐大的UBCD 或PE 光碟, 但現在小弟只能以電話指導, 所以想請網友提供更簡單的方法, 謝謝

    話說小弟自己也不太熟悉修復主控台, 實在很慚愧



  2. #2
    會員 warzero 的大頭照
    註冊日期
    2003-09-15
    所在地區
    光纖 30M/10M
    討論區文章
    1,884

    回覆: 請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    原理是將病毒從記憶體移除先,只要記憶體內沒有病毒的存在,就可以直接刪除掉病毒檔。
    對於常駐型的病毒可考慮用 Process Explorer 尋找出來,並 Close Handle 掉從記憶體釋放,再刪除。
    如果遇到可再生的情況(有多個病毒進程在互補),可考慮用 suspend 方式來休眠全部"病毒進程",並刪除。

    更簡單的方法,應可嘗試用 unlocker 來下一次開機時刪除病毒檔。
    這個小弟也沒試過,效果不保證。理論是刪除速度快過病毒執行就行。(逃~

  3. #3
    會員
    註冊日期
    2001-02-11
    所在地區
    350度凹透鏡
    討論區文章
    1,933

    回覆: 請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    遠端我只用來幫開桌面捷徑不見的程式

    電話往往風花雪月梅有搔到癢處.還讓火氣上升

    有時候人還是比較好用 .雖然有時後徵不到理想的人
    屏東的我或許可以幫的上忙.不管是否會成為經驗值之一

    =======================

    雖然有點馬後炮 不過NONAME XPE 裡面有 TeamViewer 4.0.5381

    下次出遠處的機子可以考慮隨付 BIOS設為光碟開機.這種是應該就可以解決了
    你開車嗎??
    車爛,人差勁兼沒帶種才會由路邊右側超車

  4. #4
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    找來找去, 結果還是修復主控台最單純, 直接從Windows CD 執行即可, 不過有一些限制, 還好已知病毒躲在%SystemRoot%\system32 資料夾, 所以移除沒問題

    說明適用於進階使用者的 Windows XP 修復主控台
    修復主控台的限制
    當您使用「Windows 修復主控台」時,僅能使用下列項目:

    • 根資料夾
    • 您目前所登入 Windows 安裝的 %SystemRoot% 資料夾和子資料夾
    • [Cmdcons] 資料夾
    • 卸除式媒體磁碟機,例如 CD 光碟機或 DVD 光碟機
    此外, 有些專家推薦以ComboFix 掃描系統, 而除了已經被PC-cillin 併購的HijackThis 之外, Malwarebytes Anti-Malware 也是類似的惡意軟體掃描工具, 所以小弟也提供相關連結以供參考, 如果手邊沒有Windows CD, 則以下ComboFix 文章有介紹免CD 安裝修復主控台的方法

    A guide and tutorial on using ComboFix
    How to install and use the Windows XP Recovery Console
    [免費] Malwarebytes Anti-Malware 惡意程式掃毒、清除工具   【重灌狂人】
    Microsoft Windows 惡意軟體移除工具

  5. #5
    會員 warzero 的大頭照
    註冊日期
    2003-09-15
    所在地區
    光纖 30M/10M
    討論區文章
    1,884

    回覆: 請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    不過進入修復主控台一定要重開機對吧? (不管是從光碟還是硬碟啟動)
    這樣一來不就做不到遙控了?自己認為讓完全不懂的使用者"親手"操作危險性更高...



  6. #6
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    如果有多一點時間準備的話, 下載救援光碟當然是比較不會出錯的方法, 甚至自行建立BartPE, 操作圖形介面也都比下指令來得輕鬆愉快, 不過既然已經確定目標, 而且條件符合, 手邊又沒有救援光碟的話, 那麼修復主控台確實是最簡便迅速的方法, 雖然無法直接遙控, 但是以其他方法 (Skype, MSN, VoIP...) 傳授機宜, 同樣可以達到遙控的目的, 木馬已上傳, 請看 "木馬樣本 hixga.exe - PCZONE 討論區"

    WinPE!? Windows XP-on-a-CD!? 您能想像WinXP 帶著到處走嗎? - PCZONE 討論區

  7. #7
    會員
    註冊日期
    2006-10-27
    所在地區
    ADSL 2M/256
    討論區文章
    33

    回覆: 請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    從遠端處理的話,我認為是該優先找出系統中所有異常項,包括Run、Services…etc,這需要透過類似Autorun、SREng、HijackThis…等等的分析工具達成。

    而後當惡意程式使用的啟動項、進程、模組全部查出來後,在透過腳本工具例如EFix、Combofix、OTM、The Avenger…等等的工具,將文字腳本複製貼上程式就會全自動開始運行清除,如果惡意程式在記憶體中運作,腳本工具會視機制調用例如強制重啟清空記憶體、調用Ring0工具強制刪除。倒不必使用到DOS、PE等系統,單純的複製貼上腳本動作也不怕完全不懂得User操作錯誤囉。

    例如隨便舉例一個EFix清除腳本,遠端的User只要把他貼上去EFix就會自己開始清了。
    MOVE FILE::
    C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
    C:\WINDOWS\system32\EA820B\krnln.fnr
    C:\WINDOWS\system32\EA820B\eAPI.fne
    C:\WINDOWS\system32\EA820B\shell.fne
    C:\WINDOWS\system32\EA820B\dp1.fne
    C:\WINDOWS\system32\EA820B\U7-0CF50.EXE

    mod reg::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "1308D0"=-

    REBOOT::


    至於樓主提到的部份腳本就可以這樣寫,雖然執行EFix就會自動恢復系統預設,不必要特地多寫此條。
    mod reg::
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\WINDOWS\system32\userinit.exe,"

    MOVE FILE::
    C:\WINDOWS\system32\hixga.exe

    REBOOT::

    當然要達成順利清除的前提,都是要系統中惡意程式位子全部找出來才行,否則修改了又被改回來還是一樣的。
    此文章於 2010-01-22 04:36 AM 被 star000star 編輯。

  8. #8
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    Google "EFix userinit", 看來EFix 有針對Userinit 這個鍵值特別處理

    腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下

    小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?

  9. #9
    會員
    註冊日期
    2006-10-27
    所在地區
    ADSL 2M/256
    討論區文章
    33

    回覆: 請問有何簡單的方法砍掉藏於 Userinit 之下的病毒?

    引用 作者:FYI 瀏覽文章
    Google "EFix userinit", 看來EFix 有針對Userinit 這個鍵值特別處理
    腳本確實比較不容易出錯, 這倒提醒小弟, 可以把指令寫成批次檔, 放在%SystemRoot% 資料夾底下
    小弟另外有個疑問, EFix 能否只執行腳本指定的內容, 而不多做其他備份掃描等等事情?
    單用批次的話清除上可能多少會有問題,例如Ring3下的API Hook好像也可以達到部份屏障效果。這時候如果使用安全工具的會就會有他的調用機制,細節可能得請您自己詢問作者了,這我不太瞭解。

    EFix的話預設一定會進行備份,避免什麼意外發生還有備援方案;掃描系統方面也預設都會進行,腳本跑過之後需確認到底有沒有刪除到,這時候產生的分析日誌就很好用囉。

    如果要單單運行清除腳本,您可以試試OTM或者The Avenger這兩款工具,不過後者是在Ring 0下運作的。

  10. #10
    FYI
    FYI 目前未上線
    會員
    註冊日期
    2001-06-22
    討論區文章
    7,295
    其實小弟的用意是如果預先得知該清除哪些檔案, 那就寫個批次檔於修復主控台之下執行, 然而如果木馬作者有辦法在登錄檔內執行腳本, 從遠端下載木馬並執行, 那麼修復主控台當然是不夠的
    引用 作者:star000star 瀏覽文章
    例如隨便舉例一個EFix清除腳本,遠端的User只要把他貼上去EFix就會自己開始清了。
    MOVE FILE::
    C:\WINDOWS\system32\EA820B\U7-0CF50.EXE
    C:\WINDOWS\system32\EA820B\krnln.fnr
    C:\WINDOWS\system32\EA820B\eAPI.fne
    C:\WINDOWS\system32\EA820B\shell.fne
    C:\WINDOWS\system32\EA820B\dp1.fne
    C:\WINDOWS\system32\EA820B\U7-0CF50.EXE



類似的主題

  1. 【問題】如何簡單的架一個VPN Server?
    作者:nineight 所在討論版:☉ -- 架 站 DIY 討 論 版
    回覆: 3
    最後發表: 2007-05-31, 01:20 PM
  2. YahooPOPs 0.6 !沒辦法砍掉網路上以收下的信件 ?
    作者:nopai21 所在討論版:-- 網 路 軟 體 討 論 一 版 (Browser,Email
    回覆: 0
    最後發表: 2004-12-30, 08:23 PM
  3. 【求助】Dreammail 沒辦法砍掉網路上以收下的信件
    作者:twentyfour 所在討論版:-- 網 路 軟 體 討 論 一 版 (Browser,Email
    回覆: 0
    最後發表: 2004-12-26, 11:04 AM
  4. 【求助】複製系統磁碟最快最簡單的方法?
    作者:chaos1012 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 14
    最後發表: 2003-12-25, 10:05 PM
  5. [求助]如何簡單的製作一張可以用VCD播放的相片光碟
    作者:shadow2 所在討論版:-- 多 媒 體 討 論 版
    回覆: 9
    最後發表: 2002-07-21, 05:51 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •