- 相關推薦
userinit病毒原理及其清除和預防方法
userinit病毒原理及其清除和預防方法
最近有一個極其惡劣的病毒替換系統中的用戶userinit.exe文件,網上一般稱其為“機器狗”病毒或“IMG病毒”,下面就對這個病毒的原理和清除方法進行說明。
Userinit.exe是Windows操作系統一個關鍵進程。用于管理不同的啟動順序,例如在建立網絡鏈接和Windows殼的啟動。進程文件為userinit或者userinit.exe,進程名稱是UserInitProcess。
正因為是一個操作系統的關鍵進程,所有許多人能夠鑒別出該進程為病毒并刪除該病毒文件,可是windows重啟之后藍屏。
該病毒一般會配合其它木馬病毒一起出現,該病毒的目的是利用uesinit.exe的目的是實現隱藏啟動。動作流程并不復雜,比起熊貓燒香,AV終結者來說要簡單不少,運行后首先會替換系統的Userinit.exe文件,病毒接著在windows/system32/drivers文件夾中生成一個名為pcihdd.sys的驅動文件,病毒正是借助這個驅動文件來實現還原軟件和還原卡的^^的。我們知道還原軟件和還原卡之所以能夠保護硬盤數據,是因為它具有很高的權限,能夠奪取硬盤的控制權,在系統啟動之前,將硬盤中的數據還原,而pcihdd,sys這個文件會和還原軟件或還原卡搶奪硬盤的控制權,大部分還原軟件和還原卡的控制權都會被pcihdd.sys奪取,它們就失去了還原數據的能力,這樣病毒就可以避開還原卡的在硬盤中安營扎寨了。
理解了這個病毒的原理,那么清除這個病毒就比較簡單了。
1,用正常的userinit.exe文件替換被修改的userinit.exe文件。首先新建個文本,輸入內容:
@echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
將這個記事本保存為kill.bat雙擊運行。然后從其它干凈的電腦拷貝一份userinit.exe文件,將它放到system32目錄中。
2,冊除pcihdd.sys文件,該文件們于windows/system32/drivers文件夾中。用記事本打開們于windows/system32/drviers/etc的hosts文件,在最后添加這樣一行127.0.0.1 m.baimashangsha.com,修改完后保存文件
3,用360安全衛士配合殺軟清除系統中殘留的盜號木馬病毒。
4,為了更好的預防機器狗病毒,我們可以用批處理將pcihdd.sys的文件夾設置為禁止修改。批處理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
cacls %systemroot%\system32\userinit /e/p erveryone:r
網上流傳的各種清除工具原理亦基本如上。
對這個病毒的預防基本就是不讓其修改Userinit.exe文件,二是禁止修改pcihdd.sys,三是開啟windows文件保護(這其實也是網吧中毒較多的原因,網吧大多用精減修改過的windows操作系統,系統文件保護功能被關閉)。
【userinit病毒原理及其清除和預防方法】相關文章:
電解原理及其應用08-17
原電池原理及其應用08-17
淺論“內化”原理及其德育意義08-17
鍵盤事件的掛鉤監控原理及其應用08-19
學習的原理與方法:學習的遷移08-16
學習的原理與方法:學習策略08-16
學習的原理與方法:學習的動機08-16
化學教案-原電池原理及其應用08-17
傳染病及其預防教學反思08-24
傳染病及其預防教學反思04-03