标题:
[求助]
进不去电脑桌面求高手指点急啊!
[打印本页]
作者:
心不设防
时间:
2008-11-23 21:27
标题:
进不去电脑桌面求高手指点急啊!
今天上午开电脑大约有10分钟,卡巴斯基提示有木马程序Trojan-downloader.win32.small.agkf文件c:\windows\system32\userinit.exe我把它删除后就出现了一个windows文件保护 上面显示正常运行windows所需的文件已经被替换成无法识别的版本。要保持系统的稳定,windows必须还原这些文件原有的版本。我清除了这木马后电脑就自动关机了,再开机就怎么也进不了系统了。左下角只有《关闭计算机》的字样,安全模式也进不去。我又从新装了3次系统。但是D F盘没有格扫描没有病毒,只要装卡巴斯基就又有这个木马,急死我了。求各位高手指点。谢谢了。(装完系统在装卡巴斯基然后更新完毕后扫描才有以上的现象)
作者:
nanjin2008
时间:
2008-11-23 21:43
真是不好意思,我的电脑水平真的是有限呀,我确实是没办法帮助你了!
作者:
wq27948
时间:
2008-11-23 21:50
可能是卡巴司机的误报的问题,不过我没有碰到这样的问题,lz的卡巴是什么版本的?
作者:
心不设防
时间:
2008-11-23 21:55
不可能是卡巴斯基误杀呀,我使用的是7.0的还没有到期的。
作者:
hav
时间:
2008-11-23 22:00
你的系統盤是純凈版還是修改過的?幾種可能:
1、系統光盤帶毒;
2、卡巴誤報;
3、其他分區有毒,比如QQ目錄下;
4局域網內傳染。
作者:
sr0550
时间:
2008-11-23 22:59
放入系统安装光盘
在运行里打 sfc /scannow (检查系统文件完整性然后会自动修复)
作者:
xingfuyuana
时间:
2008-11-23 23:24
这次确实是卡巴的误报,卡饭那边已经有人出问题了
因为SIS不能贴别的地方的链接,所以我复制过来了,是转贴的
“
卡巴这次误报的是 system32 文件夹下的userinit.exe
误报名称为Trojan-Downloader.Win32.Small.agkf
请不要删除userinit.exe,可以把它先加入信任或排除区域
该误报已经上报,卡巴也已经确认,将在下次升级后修复
如果你根据卡巴提示误删了这个文件,重启计算机后将无法进入系统
如果你误删了这个文件,请使用系统盘修复,把该文件重新拷贝回去
或者从PE系统进入,重新拷贝文件
卡巴6.0和7.0会提示用户删除文件,但使用卡巴8.0(即2009)的用户影响不大,因为在卡巴2009中引入了白名单机制,即使发生重要系统文件误报,卡巴也会自行排除
”
另外,楼主以后看到system32之类关键区域的报错时,请先在GOOGLE或百度之类搜索一下,像我们这些看多了的一看就知道userinit.exe属于关键进程,一般都不会去动
上边说的PE系统楼主可以在一些非Ghost系统盘上找到。按照sr0550兄弟的做就可以,但是要记得,系统盘不能是GHOST或者改过的
或者你重装后立刻把userinit.exe加入到卡巴斯基的信任名单里面去,具体楼主可以看一下卡巴的帮助文件
作者:
宝贝过儿
时间:
2008-11-24 16:16
楼主可以把你的病毒代码复制然后在百度里搜索一下,一般能解决问题的。
不过我要说一点的就是,卡巴斯基毕竟是国外的软件,所以很多时候会产生误报。其实你只要觉得这个不是病毒的话,你可以选择让卡巴以后不报警。
作者:
骨架
时间:
2008-11-24 16:55
"卡吧.死机"误报而已,楼主不要删掉这程序...
作者:
zd26
时间:
2008-11-24 17:12
标题:
以前我也有,类似的情况,
关闭卡巴斯基,或者删除,影响速度,还慢 我直接删了
作者:
duanch1981
时间:
2008-11-24 20:03
百度上搜来的希望对你有用!
最近电脑突然卡,发现杀毒软件老是报告userinit.exe被修改
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
病毒创建userinit.exe,放入到%systemroot%system32目录下。然后,userinit.exe开始接手工作。userinit.exe进程结束。
userinit.exe上台后,开始创建svchost.exe进程。任务完成后,userinit.exe进程自动结束
svchost.exe就是主角登场了,它开始在本地端口4444号上监控,同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想,估计还会下载其它N多病毒。
通过以上三个动作,病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后,一切进程都稍无声息的消失不见。于是乎,你不小心的话,根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀!!前面两个进程,在进程列表里,停留的时间极短,几乎是一闪而过。而后面主角svchost.exe,我想你怎么也不会怀疑到它头上。系统服务的核心进程,大部分都是用它启动.
另外,最新的机器狗病毒,arp防火墙监控不到!!
穿破还原后,连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒,破坏GHOST文件,自动打开SERVER服务,局域内迅速传播!
如果已经被这个病毒迫害了系统,不能登陆,查看:
机器狗及其变种造成userinit.exe异常的解决方案
http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html
解决方法:
Userinit.exe修复工具
http://bbs.antidu.cn/thread-3602-1-1.html
机器狗病毒Userinit.exe免疫程序
http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html
Zonga告诉大家解决方法:
利用注册表法::(转载请注明来自本空间
http://hi.baidu.com/nuanruohan
)
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1
md %systemroot%\system32\1\2
copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2 /p everyone:f
echo y|cacls c:\windows\system32\1 /p everyone:n
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
echo y|cacls c:\windows\system32\userinit.exe /p everyone:n
md c:\WINDOWS\AVPSrv.exe >nul 2>nul
md c:\WINDOWS\DiskMan32.exe >nul 2>nul
md c:\WINDOWS\IGM.exe >nul 2>nul
md c:\WINDOWS\Kvsc3.exe >nul 2>nul
md c:\WINDOWS\lqvytv.exe >nul 2>nul
md c:\WINDOWS\MsIMMs32.exe >nul 2>nul
md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul
md %windir%\system32\drivers\svchost.exe >nul 2>nul
md c:\WINDOWS\system32\a.exe >nul 2>nul
md c:\WINDOWS\upxdnd.exe >nul 2>nul
md c:\WINDOWS\WinForm.exe >nul 2>nul
md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul
md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul
md c:\WINDOWS\cmdbcs.exe >nul 2>nul
md c:\WINDOWS\dbghlp32.exe >nul 2>nul
md c:\WINDOWS\nvdispdrv.exe >nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul
md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul
md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul
echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul
echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul
echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
echo gpupdate
exit
下面是注册表部分!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
另存为*.reg
运行以上两个文件,立即搞定.
3.防userinit.exe修改方法:(转载请注明来自本空间
http://hi.baidu.com/nuanruohan
)
第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe
第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,
为:C:\WINDOWS\system32\mylogin.exe,
注意键值后面有个英文逗号
第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限
作者:
admin45
时间:
2008-11-24 20:15
你可以这样试试。。右击桌面--属性---桌面----显示桌面。应该就行了~~
欢迎光临 SiS001! Board - [第一会所 关闭注册] (http://67.220.92.21/bbs/)
Powered by Discuz! 7.2