時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)
近日,金山反病毒中心截獲一特殊的新網(wǎng)銀木馬病毒,該木馬會刪除系統(tǒng)的關(guān)鍵登錄程序userinit.exe,導(dǎo)致系統(tǒng)重啟后反復(fù)登錄,無法進(jìn)入桌面。金山反病毒中心已經(jīng)緊急升級處理該病毒,將提供了系統(tǒng)修復(fù)方案。
以下是新網(wǎng)銀木馬病毒的詳細(xì)分析:
病毒名:Win32.Troj.BankJp.a.221184
這是一個(gè)具有破壞性的新網(wǎng)銀木馬病毒。會查找"個(gè)人銀行專業(yè)版"的窗口并盜取網(wǎng)銀賬號密碼,如招商銀行等;該病毒還會替換大量系統(tǒng)文件,如userinit.exe、notepad.exe等。會引起進(jìn)入系統(tǒng)時(shí)反復(fù)注銷等問題。建議使用金山清理專家進(jìn)行清除,并恢復(fù)userinit.exe等系統(tǒng)文件后再重起計(jì)算機(jī),該病毒通過可移動磁盤傳播。
新網(wǎng)銀木馬病毒癥狀
1、生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
2、添加服務(wù)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3、主要危害
查找"個(gè)人銀行專業(yè)版"的窗口,并從內(nèi)存讀取賬號密碼,威脅用戶財(cái)產(chǎn)安全。
4、其它危害
使用驅(qū)動,進(jìn)行鍵盤記錄,威脅用戶財(cái)產(chǎn)及隱私安全。
5、備份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls
6、用病毒文件替換下列文件
%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe
7、備份
會在根目錄下創(chuàng)建文件夾RECYCLER..,存放病毒備份。
8、刪除windows目錄下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
9、該病毒會自動更新
因?yàn)椴《境绦蛴米陨硖鎿Q了userinit.exe,重啟系統(tǒng)時(shí),會發(fā)現(xiàn)無法登錄,反復(fù)注銷。出現(xiàn)這個(gè)情況時(shí),不必忙著重裝系統(tǒng),修復(fù)還是需要花一些功夫的,請參考以下解決方案:
新網(wǎng)銀木馬清除方案一、使用WINPE光盤引導(dǎo)后修復(fù)
首先按delete鍵進(jìn)入BIOS,確認(rèn)當(dāng)前的啟動方式是否為光盤啟動。按"+""—"修改第一啟動為光驅(qū),并且按F10鍵保存后退出并且重啟。
重啟后WinPE的啟動時(shí)間比較長,請耐心等待。
進(jìn)入WinPE虛擬出的系統(tǒng)后找到里面的注冊表編輯工具定位到注冊表項(xiàng):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options
下找到userinit.exe項(xiàng),將其刪除。(從截圖可以看到病毒將userinit.exe劫持到不存在的文件上面會導(dǎo)致XP系統(tǒng)反復(fù)注銷)
此步操作可能沒有找到病毒劫持的userinit.exe項(xiàng)目,接下來定位到注冊表項(xiàng)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
下找到里面的Userinit鍵值,將其數(shù)據(jù)修改為系統(tǒng)默認(rèn)的值"C:\WINDOWS\system32\UserInit.exe"
接下來我們需要將WinPE盤里面的userinit.exe文件替換系統(tǒng)目錄下的文件,以便確保不是病毒修改替換過的文件。方法是瀏覽光驅(qū)找到I386目錄下system32目錄,右鍵單擊userinit.exe文件后選擇"復(fù)制到",將默認(rèn)路徑X:\windows\system32輸入對話框中(X 為系統(tǒng)盤符,通常為C盤)
如果在系統(tǒng)目錄下存在userinit.exe文件的話,會有如下提示。建議點(diǎn)擊"是"以避免之前文件被病毒修改。
當(dāng)注冊表修改和文件替換均完成后重啟計(jì)算機(jī),反復(fù)注銷的現(xiàn)象即可解決。(注意取出WinPE光盤,以避免之后反復(fù)進(jìn)入WinPE系統(tǒng))此方法僅供遇到此類現(xiàn)象的人士參考處理,系統(tǒng)沒有此問題的用戶請不要模仿類似操作。
因方案一需要的WINPE光盤不是每個(gè)人都有,故提出使用注冊表編輯器編輯遠(yuǎn)程計(jì)算機(jī)的注冊表的方法。此方法僅供遇到此類現(xiàn)象的人士參考處理,系統(tǒng)沒有此問題的用戶請不要模仿類似操作。WINPE光盤也是需要微軟授權(quán)的產(chǎn)品,不是每個(gè)電腦用戶都有,這里補(bǔ)充另一個(gè)方法:你可以使用局域網(wǎng)中其它計(jì)算機(jī)完成本機(jī)的注冊表修復(fù)。
Windows缺省情況下開啟了遠(yuǎn)程注冊表服務(wù),可以使用正常電腦的注冊表編輯器編輯遠(yuǎn)程的故障電腦注冊表。如果本服務(wù)已經(jīng)關(guān)閉,就只能用winpe了,其它方法更復(fù)雜。
新網(wǎng)銀木馬清除步驟:
1.單擊開始,運(yùn)行,輸入regedit,打開注冊表編輯器。
2.單擊文件菜單,連接網(wǎng)絡(luò)注冊表。
3.輸入遠(yuǎn)程計(jì)算的IP地址或\\機(jī)器名,連接成功后,輸入遠(yuǎn)程計(jì)算機(jī)的管理員用戶名密碼。
接下來的步驟就和上面用Winpe編輯注冊表的方法完全一樣了。如果userinit.exe被病毒破壞,可以使用windows安裝光盤啟動后進(jìn)行快速修復(fù),以還原這個(gè)userinit.exe。
根據(jù)該病毒的行為,病毒將userinit.exe重命名為c_20911.nls,并從c:\windows\system32目錄移動到了c:\windows\system32\dllcache\c_20911.nls,我們只需要使用copy命令,還原這個(gè)文件就可以。
命令為
copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32
重啟,你的系統(tǒng)就恢復(fù)了。
關(guān)鍵詞標(biāo)簽:新網(wǎng)銀木馬
相關(guān)閱讀
熱門文章 如何使HIPS 防止U盤病毒的入侵用小工具巧殺計(jì)算機(jī)病毒Windows 17年的老漏洞(VDM 0day)須警惕光驅(qū)也瘋狂 Autorun病毒冒充文件夾
人氣排行 解決alexa.exe自動彈出網(wǎng)頁病毒卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件K更改文件權(quán)限--處理另類無法刪除病毒comine.exe 病毒清除方法ekrn.exe占用CPU 100%的解決方案當(dāng)殺毒軟件無能為力時(shí),手動殺毒(利用系統(tǒng)自帶命令查殺病毒)也許發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除