木马播报：新网银木马致系统反复注销不能登录

妈妈辛苦 发表于 2007-11-13 23:29:47

其实现在，大家对于病毒已经不再觉得害怕了，毕竟最多是破坏系统，导致系统瘫痪，而拥有良好电脑使用习惯的人，基本都不在C盘存放重要文档，而中了病毒之后，大不了ghost一下^_^，而木马就不同了，在网络时代，木马是真正具有威胁的新病毒形式，尤其是游戏账号和网络银行，中了厉害的木马，那损失……如果是电脑上有非常重要的资料，损失也会非常惨重……最近的新网银木马，就是一个非常厉害的东东……近日，金山反病毒中心截获一特殊的木马病毒，该木马会删除系统的关键登录程序userinit.exe，导致系统重启后反复登录，无法进入桌面。金山反病毒中心已经紧急升级处理该病毒，将提供了系统修复方案。 以下是该病毒的详细分析：病毒名：Win32.Troj.BankJp.a.221184这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。1，生成文件： %windir%\mshelp.dll %windir%\mspw.dll2,添加服务 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power3，主要危害 查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。4，其它危害 使用驱动，进行键盘记录，威胁用户财产及隐私安全。5，备份下列文件 %system%\userinit.exe -> %system%\dllcache\c_20911.nls %windir%\notepad.exe -> %system%\dllcache\c_20601.nls %system%\calc.exe -> %system%\dllcache\c_20218.nls6，用病毒文件替换下列文件 %system%\notepad.exe %windir%\calc.exe %system%\userinit.exe %system%\dllcache\notepad.exe %system%\dllcache\calc.exe %system%\dllcache\userinit.exe7，会在根目录下创建文件夹RECYCLER..，存放病毒备份。8，删除windows目录下的下列文件 notepad.exe calc.exe userinit.exe svchost.exe9，该病毒会自动更新 因为病毒程序用自身替换了userinit.exe，重启系统时，会发现无法登录，反复注销。出现这个情况时，不必忙着重装系统，修复还是需要花一些功夫的，请参考以下解决方案： 方案一，使用WINPE光盘引导后修复。 首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示： <img src="http://image.poco.cn/mypoco/myphoto/20071109/3950042420071109231110074_640.jpg" border="0" alt=""/>重启后WinPE的启动时间比较长，请耐心等待。如图所示： <img src="http://image.poco.cn/mypoco/myphoto/20071109/3950042420071109232012095_640.jpg" border="0" alt=""/>进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options】下找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销） <img src="http://image.poco.cn/mypoco/myphoto/20071109/3950042420071109232515076_640.jpg" border="0" alt=""/>

妈妈辛苦 发表于 2007-11-13 23:30:56

此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下 找到里面的Userinit键值，将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图所示：http://image.poco.cn/mypoco/myphoto/20071109/395004242007110923273906_640.jpg接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择『复制到』，将默认路径X:\windows\system32输入对话框中(X 为系统盘符，通常为C盘) 如图所示： http://image.poco.cn/mypoco/myphoto/20071109/3950042420071109233203025_640.jpg如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示： http://image.poco.cn/mypoco/myphoto/20071109/3950042420071109233446010_640.jpg当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统） 此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。 方案二：使用注册表编辑器编辑远程计算机的注册表，因方案一需要的WINPE光盘不是每个人都有。此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品，不是每个电脑用户都有，这里补充另一个方法：你可以使用局域网中其它计算机完成本机的注册表修复。windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭，就只能用winpe了，其它方法更复杂。步骤：1.单击开始，运行，输入regedit，打开注册表编辑器。2.单击文件菜单，连接网络注册表3.输入远程计算的IP地址或\\机器名，连接成功后，输入远程计算机的管理员用户名密码。接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏，可以使用windows安装光盘启动后进行快速修复，以还原这个userinit.exe。根据该病毒的行为，病毒将userinit.exe重命名为c_20911.nls，并从c:\windows\system32目录移动到了c:\windows\system32\dllcache\c_20911.nls，我们只需要使用copy命令，还原这个文件就可以。 命令为copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32 重启，你的系统就恢复了。

上网真好 发表于 2007-11-14 12:35:41

这个病毒的确很厉害，而且处理起来很麻烦的样子，不过金山现在也很强了，支持一下！顶楼主哈

怀念依旧 发表于 2007-11-15 12:24:10

深恶痛绝这种木马病毒，恐怕其作者是那种最极端的反社会青年吧，不过由于我一向注意防毒杀毒，电脑没啥打问题，嘿嘿！

小小脚印 发表于 2007-11-15 14:21:03

估计这个病毒作者一定爱玩冒险岛，被盛大逼得出来报复社会了。

风业是我 发表于 2007-11-15 19:08:07

支持毒霸一下，金山的东西还是很好用的！呵呵，比那个x星强了不少！

好就行 发表于 2007-11-16 12:20:00

楼主的方法还是挺管用的啊，本人虽是个电脑小白，但依LZ的这个方法就把自己机子整好了，强啊～～~

赳赳发表于 2007-11-16 13:14:22

这么狠的病毒啊！看来以后还真得注意了，十分谢谢LZ的分享，辛苦了~~~

对不起我爱你 发表于 2007-11-16 14:06:59

呵呵，网银木马也越来越牛X了!这帖子不错!

我是我吗 发表于 2007-11-16 19:08:32

PE下面能访问到XP的注册表么??? 没试过,望明示......

页: [1] 2

栖息谷-管理人的网上家园's Archiver

木马播报：新网银木马致系统反复注销不能登录