userinit病毒的防范

一.病毒的原理:
1,修改userinit.exe文件,但不改变他的大小和日期.

2,非常熟悉还原软件(或还原卡)的工作原理,不破坏还原,但能穿透.
3,从域名下载文件,而不是基于IP.所以三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!

4,即使修改HOSTS文件,使域名指向假IP..也防不住变种..

5,病毒占资源不多,客户机不容易发觉!

二.免疫方法:

1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns可以做到),没有亲自试验,不知是不是有副作用.
因为这个病毒很明显是针对网吧设计出来的.

2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe
解决方案,永久搞定,彻底搞定.对变种有效.2007-11-03 17:35中毒的现象:

userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe

并且不在进程中加载，删除后，机器启动到登陆用户界面时就开始不停的登陆，注销，登陆。。。。。。

问题已经解决 发现主程序为userinit.exe文件

位置C:\WINDOWS\system32\userinit.exe

能穿透大多数的保护程序

正常文件的属性（有版本号）  userinit.exe病毒文件的属性（没有版本号）  userinit.exe  1 有保护的机器先断网（拔了网线），启动机器，等5分钟左右，如果没有发现进程中加载可疑进程，那么恭喜你了。。。其他文件可能被感染的几率非常小了，这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号 没有的话，说明文件被感染，这时去掉保护，重起机器（断网），结束userinit.exe进程，然后删除C:\WINDOWS\system32\userinit.exe文件，换一个正常的 解决方法:

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点