标题: [求助] 进不去电脑桌面求高手指点急啊！ [打印本页]

---

作者: 心不设防    时间: 2008-11-23 21:27     标题: 进不去电脑桌面求高手指点急啊！

今天上午开电脑大约有10分钟，卡巴斯基提示有木马程序Trojan-downloader.win32.small.agkf文件c:\windows\system32\userinit.exe我把它删除后就出现了一个windows文件保护   上面显示正常运行windows所需的文件已经被替换成无法识别的版本。要保持系统的稳定，windows必须还原这些文件原有的版本。我清除了这木马后电脑就自动关机了，再开机就怎么也进不了系统了。左下角只有《关闭计算机》的字样，安全模式也进不去。我又从新装了3次系统。但是D F盘没有格扫描没有病毒，只要装卡巴斯基就又有这个木马，急死我了。求各位高手指点。谢谢了。（装完系统在装卡巴斯基然后更新完毕后扫描才有以上的现象）

---

作者: nanjin2008    时间: 2008-11-23 21:43

真是不好意思,我的电脑水平真的是有限呀,我确实是没办法帮助你了!

---

作者: wq27948    时间: 2008-11-23 21:50

可能是卡巴司机的误报的问题，不过我没有碰到这样的问题，lz的卡巴是什么版本的？

---

作者: 心不设防    时间: 2008-11-23 21:55

不可能是卡巴斯基误杀呀，我使用的是7.0的还没有到期的。

---

作者: hav    时间: 2008-11-23 22:00

你的系統盤是純凈版還是修改過的？幾種可能：
1、系統光盤帶毒；
2、卡巴誤報；
3、其他分區有毒，比如ＱＱ目錄下；
４局域網內傳染。

---

作者: sr0550    时间: 2008-11-23 22:59

放入系统安装光盘
在运行里打 sfc /scannow （检查系统文件完整性然后会自动修复）

---

作者: xingfuyuana    时间: 2008-11-23 23:24

这次确实是卡巴的误报，卡饭那边已经有人出问题了
因为SIS不能贴别的地方的链接，所以我复制过来了，是转贴的

“
卡巴这次误报的是 system32 文件夹下的userinit.exe
误报名称为Trojan-Downloader.Win32.Small.agkf
请不要删除userinit.exe，可以把它先加入信任或排除区域
该误报已经上报，卡巴也已经确认，将在下次升级后修复
如果你根据卡巴提示误删了这个文件，重启计算机后将无法进入系统
如果你误删了这个文件，请使用系统盘修复，把该文件重新拷贝回去
或者从PE系统进入，重新拷贝文件
卡巴6.0和7.0会提示用户删除文件，但使用卡巴8.0(即2009)的用户影响不大，因为在卡巴2009中引入了白名单机制，即使发生重要系统文件误报，卡巴也会自行排除
”

另外，楼主以后看到system32之类关键区域的报错时，请先在GOOGLE或百度之类搜索一下，像我们这些看多了的一看就知道userinit.exe属于关键进程，一般都不会去动
上边说的PE系统楼主可以在一些非Ghost系统盘上找到。按照sr0550兄弟的做就可以，但是要记得，系统盘不能是GHOST或者改过的
或者你重装后立刻把userinit.exe加入到卡巴斯基的信任名单里面去，具体楼主可以看一下卡巴的帮助文件

---

作者: 宝贝过儿    时间: 2008-11-24 16:16

楼主可以把你的病毒代码复制然后在百度里搜索一下，一般能解决问题的。
不过我要说一点的就是，卡巴斯基毕竟是国外的软件，所以很多时候会产生误报。其实你只要觉得这个不是病毒的话，你可以选择让卡巴以后不报警。

---

作者: 骨架    时间: 2008-11-24 16:55

"卡吧.死机"误报而已,楼主不要删掉这程序...

---

作者: zd26    时间: 2008-11-24 17:12     标题: 以前我也有,类似的情况,

关闭卡巴斯基,或者删除,影响速度,还慢  我直接删了

---

作者: duanch1981    时间: 2008-11-24 20:03

百度上搜来的希望对你有用！

　最近电脑突然卡，发现杀毒软件老是报告userinit.exe被修改
　　如果打开C:\WINDOWS\system32文件夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。
　　病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。
　　userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束
　　svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。
　　通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.
　　另外，最新的机器狗病毒，arp防火墙监控不到!!
　　穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！
　　如果已经被这个病毒迫害了系统，不能登陆，查看：
　　机器狗及其变种造成userinit.exe异常的解决方案
　　http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html
　　解决方法：
　　Userinit.exe修复工具
　　http://bbs.antidu.cn/thread-3602-1-1.html
　　机器狗病毒Userinit.exe免疫程序
　　http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html
　　Zonga告诉大家解决方法：
　　利用注册表法::(转载请注明来自本空间http://hi.baidu.com/nuanruohan)
　　以下分二部分，一部分是批处理，一部分是注册表！请确保c:\windows\system32\userinit.exe是无毒文件
　　@echo off
　　md %systemroot%\system32\1
　　md %systemroot%\system32\1\2
　　copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
　　echo y|cacls c:\windows\system32\1\2 /p everyone:f
　　echo y|cacls c:\windows\system32\1 /p everyone:n
　　md %systemroot%\system32\drivers\pcihdd.sys
　　cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
　　echo y|cacls c:\windows\system32\userinit.exe /p everyone:n
　　md c:\WINDOWS\AVPSrv.exe >nul 2>nul
　　md c:\WINDOWS\DiskMan32.exe >nul 2>nul
　　md c:\WINDOWS\IGM.exe >nul 2>nul
　　md c:\WINDOWS\Kvsc3.exe >nul 2>nul
　　md c:\WINDOWS\lqvytv.exe >nul 2>nul
　　md c:\WINDOWS\MsIMMs32.exe >nul 2>nul
　　md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul
　　md %windir%\system32\drivers\svchost.exe >nul 2>nul
　　md c:\WINDOWS\system32\a.exe >nul 2>nul
　　md c:\WINDOWS\upxdnd.exe >nul 2>nul
　　md c:\WINDOWS\WinForm.exe >nul 2>nul
　　md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul
　　md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul
　　md c:\WINDOWS\cmdbcs.exe >nul 2>nul
　　md c:\WINDOWS\dbghlp32.exe >nul 2>nul
　　md c:\WINDOWS\nvdispdrv.exe >nul 2>nul
　　md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul
　　md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul
　　md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul
　　md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul
　　echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul
　　echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul
　　echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul
　　echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
　　echo gpupdate
　　exit
　　下面是注册表部分！
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
　　"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
　　"TypesSupported"=dword:00000007
　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
　　"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
　　"TypesSupported"=dword:00000007
　　另存为*.reg
　　运行以上两个文件,立即搞定.
　　3.防userinit.exe修改方法:(转载请注明来自本空间http://hi.baidu.com/nuanruohan)
　　第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
　　第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe
　　第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,
　　为:C:\WINDOWS\system32\mylogin.exe,
　　注意键值后面有个英文逗号
　　第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限

---

作者: admin45    时间: 2008-11-24 20:15

你可以这样试试。。右击桌面--属性---桌面----显示桌面。应该就行了~~

---

欢迎光临 SiS001! Board - [第一会所 关闭注册] (http://67.220.92.21/bbs/)

Powered by Discuz! 7.2