??? 近日�����,金山反病毒中心截獲一特殊的新網(wǎng)銀木馬病毒,該木馬會刪除系統(tǒng)的關(guān)鍵登錄程序userinit.exe�,導致系統(tǒng)重啟后反復登錄,無法進入桌面�。金山反病毒中心已經(jīng)緊急升級處理該病毒,將提供了系統(tǒng)修復方案��。
??? 以下是新網(wǎng)銀木馬病毒的詳細分析:
??? 病毒名:Win32.Troj.BankJp.a.221184
??? 這是一個具有破壞性的新網(wǎng)銀木馬病毒��。會查找"個人銀行專業(yè)版"的窗口并盜取網(wǎng)銀賬號密碼�����,如招商銀行等��;該病毒還會替換大量系統(tǒng)文件�,如userinit.exe、notepad.exe等�����。會引起進入系統(tǒng)時反復注銷等問題�。建議使用金山清理專家進行清除,并恢復userinit.exe等系統(tǒng)文件后再重起計算機�,該病毒通過可移動磁盤傳播。
??? 新網(wǎng)銀木馬病毒癥狀
??? 1�、生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
??? 2、添加服務
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
?
??? 3��、主要危害
??? 查找"個人銀行專業(yè)版"的窗口�,并從內(nèi)存讀取賬號密碼,威脅用戶財產(chǎn)安全�����。
??? 4�����、其它危害
??? 使用驅(qū)動�,進行鍵盤記錄,威脅用戶財產(chǎn)及隱私安全�����。
??? 5��、備份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls
??? 6��、用病毒文件替換下列文件
%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe
??? 7、備份
??? 會在根目錄下創(chuàng)建文件夾RECYCLER..�����,存放病毒備份��。
??? 8��、刪除windows目錄下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
??? 9�、該病毒會自動更新
??? 因為病毒程序用自身替換了userinit.exe,重啟系統(tǒng)時��,會發(fā)現(xiàn)無法登錄�����,反復注銷��。出現(xiàn)這個情況時�����,不必忙著重裝系統(tǒng)�����,修復還是需要花一些功夫的,請參考以下解決方案:
??? 新網(wǎng)銀木馬清除方案一�、使用WINPE光盤引導后修復
??? 首先按delete鍵進入BIOS�����,確認當前的啟動方式是否為光盤啟動�。按"+""—"修改第一啟動為光驅(qū),并且按F10鍵保存后退出并且重啟��。
??? 重啟后WinPE的啟動時間比較長��,請耐心等待��。
??? 進入WinPE虛擬出的系統(tǒng)后找到里面的注冊表編輯工具定位到注冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options
??? 下找到userinit.exe項��,將其刪除�。(從截圖可以看到病毒將userinit.exe劫持到不存在的文件上面會導致XP系統(tǒng)反復注銷)
??? 此步操作可能沒有找到病毒劫持的userinit.exe項目,接下來定位到注冊表項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
??? 下找到里面的Userinit鍵值��,將其數(shù)據(jù)修改為系統(tǒng)默認的值"C:\WINDOWS\system32\UserInit.exe"
??? 接下來我們需要將WinPE盤里面的userinit.exe文件替換系統(tǒng)目錄下的文件�,以便確保不是病毒修改替換過的文件。方法是瀏覽光驅(qū)找到I386目錄下system32目錄�����,右鍵單擊userinit.exe文件后選擇"復制到",將默認路徑X:\windows\system32輸入對話框中(X 為系統(tǒng)盤符�,通常為C盤)
??? 如果在系統(tǒng)目錄下存在userinit.exe文件的話,會有如下提示��。建議點擊"是"以避免之前文件被病毒修改�。
??? 當注冊表修改和文件替換均完成后重啟計算機,反復注銷的現(xiàn)象即可解決��。(注意取出WinPE光盤�,以避免之后反復進入WinPE系統(tǒng))此方法僅供遇到此類現(xiàn)象的人士參考處理,系統(tǒng)沒有此問題的用戶請不要模仿類似操作�。
??? 因方案一需要的WINPE光盤不是每個人都有,故提出使用注冊表編輯器編輯遠程計算機的注冊表的方法��。此方法僅供遇到此類現(xiàn)象的人士參考處理��,系統(tǒng)沒有此問題的用戶請不要模仿類似操作�。WINPE光盤也是需要微軟授權(quán)的產(chǎn)品,不是每個電腦用戶都有��,這里補充另一個方法:你可以使用局域網(wǎng)中其它計算機完成本機的注冊表修復��。
??? Windows缺省情況下開啟了遠程注冊表服務��,可以使用正常電腦的注冊表編輯器編輯遠程的故障電腦注冊表。如果本服務已經(jīng)關(guān)閉��,就只能用winpe了��,其它方法更復雜�����。
??? 新網(wǎng)銀木馬清除步驟:
??? 1.單擊開始�����,運行�����,輸入regedit��,打開注冊表編輯器�。
??? 2.單擊文件菜單��,連接網(wǎng)絡(luò)注冊表�����。
??? 3.輸入遠程計算的IP地址或\\機器名,連接成功后�,輸入遠程計算機的管理員用戶名密碼。
??? 接下來的步驟就和上面用Winpe編輯注冊表的方法完全一樣了��。如果userinit.exe被病毒破壞�,可以使用windows安裝光盤啟動后進行快速修復,以還原這個userinit.exe��。
??? 根據(jù)該病毒的行為��,病毒將userinit.exe重命名為c_20911.nls�,并從c:\windows\system32目錄移動到了c:\windows\system32\dllcache\c_20911.nls,我們只需要使用copy命令�����,還原這個文件就可以�����。
??? 命令為
copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32?
??? 重啟�,你的系統(tǒng)就恢復了。
關(guān)鍵詞標簽:新網(wǎng)銀木馬
