userinit病毒原理及其清除和预防方法共6篇

　　下面是范文网小编分享的userinit病毒原理及其清除和预防方法共6篇，供大家品鉴。

userinit病毒原理及其清除和预防方法共1

　　如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe 两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。

userinit病毒原理及其清除和预防方法共2

　　文件夹病毒不是一个病毒，而是具有类似性质的病毒的统称，此类病毒会将真正的文件夹隐躲起来，并天生一个与文件夹同名的exe文件，并使用文件夹的图标，使用户无法分辨，从而频繁感染。

　　你的U盘或数码相机中保存着重要的数据和照片，当你打开盘符的时候，却发现什么都没有了，相信这时你的脑袋会嗡的一下，然后急着想看看发生了什么事，于是疯狂地打开一个个文件夹进行查看。而这时文件夹病毒早已伪装成文件夹了，你运行的只是病毒而已。很多朋友都不喜欢显示文件的扩展名，再加上病毒伪装得和真正的文件夹一模一样，因此在这种情况下，相信尽大部分的人都会中招。

　　当然这还没完，当你发现U盘中有文件夹，但是却死活打不开，于是你就会想到往别的电脑上打开一下，看看是不是U盘坏了，于是又一台电脑被感染了。

　　一、文件夹病毒手工清除方法

　　看了编辑提示，相信你也一定会说这病毒太***太猥琐了!好吧，假如你不幸被这猥琐的家伙感染了，那么我们就来尝试手工把它清除出往吧。

　　Step1：结束病毒进程。任务治理器中终止进程XP-290F2C69.EXE (后8 位随机),winvcreg.exe，.exe(随机名)。

　　Step2：删除病毒在System32天生的以下文件：com.run、dp1.fne、eAPI.fne、internet.fne、 krnln.fnr、og.dll、og.edt、RegEx.fnr、spec.fne、ul.dll、XP-290F2C69.EXE、 winvcreg.exe 2008.EXE(随机名)

　　Step3：删除病毒的启动项，删除以下启动项：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”里的XP-**.EXE(后8 位随机)及“C：Documents and SettingsAdministrator「开始」菜单 程序 启动”里的“.lnk”。

　　Step4：显示移动磁盘里隐躲的原有文件夹，方法是：工具--文件夹选项-- 查看--取消“隐躲受保护的操纵系统文件”前的钩，以及选择“显示所有的文件和文件夹”确定，并删除以文件夹图标为图标的exe病毒文件。

　　假如你碰到的是该病毒的变种，那么可以使用文件夹病毒的专杀工具一次性解决题目。专杀工具下载地址：/soft/3814.html。运行后直接查杀，世界就清静了。

　　二、文件夹病毒的防御

　　文件夹病毒的技术并不高深，因此防御起来还是相对简单的，只需要把握两点即可：

　　1、显示文件的后缀名。方法为：

　　打开“我的电脑”，选择“工具”菜单→“ 文件夹选项”，选择“查看”，取消“隐躲已知文件类型的扩展名”前的对钩，然后点击“确定”。这样当你看到exe后缀的文件夹就不太会想往双击了吧。

　　2、禁用自动播放。对付U 盘类病毒，最好用的方法就是禁用自动播放。方法为：点击“开始”→“运行”，输进“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“治理模版”→“系统”，在右侧窗口可以找到“停用自动播放”项，其状态为“未被配置”。双击之，在“策略”中选中“启用”选项，点击“确定”即可。

　　文件夹病毒的防与治你看明白了吗？在遇到类似的问题。你大可不必慌张了，使用上述的方法为自己排忧解难吧！

userinit病毒原理及其清除和预防方法共3

　　此为征途网游木马，清除方法如下：

　　1.在C盘搜索

　　2.安装unlocker工具，对着upxdnd.dll文件右击，选择unlocker，在弹出的界面上选择全部解锁，

　　upxdnd.dll病毒清除方法

，

　　然后再删除它。

　　3.在开始运行里输入

　　regsvr32/uc:windowssystem32upxdnd.dll

　　回车

　　4.然后重启,清除完成！

userinit病毒原理及其清除和预防方法共4

　　一、准备工作

　　打开“我的电脑”——工具——文件夹选项——查看

　　a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

　　b、勾中“显示所有文件和文件夹”

　　二、结束进程

　　1、用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

　　2、点到任务管理器进程面版，点击菜单，“查看”－“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为 “LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。

　　3、输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。

　　三、删除病毒文件

　　删除如下几个文件：

　　C:Program FilesCommon FilesINTEXPLORE.pif （有的没有.pif）

　　C:Program FilesInternet Ex

　　C:WINDOWSEXERT.exe （或者exeroute.exe）

　　C:WINDOWSIO.SYS.BAK

　　C:WINDOWSLSASS.exe

　　C:WINDOWSDebugDebugProgram.exe

　　C:WINDO

　　C:WINDOWS

　　C:WINDOW

　　在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“”文件.

　　四、删除注册表中的其他垃圾信息

　　将C:WINDOWS目录下的“regedit.exe”改名为“”并运行，删除以下项目：

　　1、HKEY_CLASSES_ROOTWindowFiles

　　2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

　　3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项

　　4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

　　5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项

　　五、修复注册表中被篡改的键值

　　1、将HKEY_CLASSES_ROOT.exe的默认值修改为 “exefile”(原来是windowsfile)

　　2、将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” %1 (原来是)

　　3、将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”(原来是)

　　4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为“C:Program FilesInternet Exploreriexplore.exe” %1 (原来的值分别是和INTEXPLORE.pif)

　　5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和 HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” –nohome

　　6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)

　　六、关掉注册表编辑器

　　将C:WINDOWS目录下的改回regedit.exe，如果提示有重名文件存在，不能更改，可以先将重名的regedit.exe删除，再将改为regedit.exe。

　　看上面的清除lsass.exe病毒的方法来看，说明中了lsass.exe病毒后清除lsass.exe病毒还是很复杂的，因此需要时时检测自己的电脑是否中毒，若中毒，及时清除病毒以免受感染。

userinit病毒原理及其清除和预防方法共5

　　简单研究了一下3721的机制，写在这里，作为心得笔记吧，大部分收获都来自softice + 反汇编，不一定适用于某些版本。

　　1. cnsmin.dll的驻留方式

　　3721的核心文件：cnsmin.dll

　　通常存在于downloaded program files下。

　　通过注册表run键值加载：rundll32 cnsmin.dll, rundll32

　　Cnsmin.dll提供了一个函数rundll32供rundll32.exe调用

　　但这个函数只是调用一个真正的驻留函数rundll32main。

　　rundll32main()伪代码：

　　void rundll32main()

{

　　hmutex = createmutex(“cnsminmutex”);

　　if(error_already_exists)

{

　　Closehandle(hmutex);

　　exit;

}

　　if(iswindowsnt()) {

　　Setprocesssecurityinfo();

}

　　else {

　　registerprocessasservice();

}

　　Checkversion();

// cnsminkp.sys/vxd 内核驱动程序，保护3721关键文件和注册表项不被删除

　　Contactwithcnsminkpdriver();

// 关键的hook，负责将cnsmin.dll注入其他进程空间

　　installcbthook();

// 关键的hook，负

　　关 键 字：病毒防治

userinit病毒原理及其清除和预防方法共6

　　清除自动静音病毒

　　根据自动静音的现象及它所产生的文件我们可以进入安全模式下来删除静音病毒，

　　第一步、进入安全模式（电脑开机的时候按F8键）。打开我的电脑，将C盘下的iexploror01.exe和TEMP下的iexploror01.exe删除。

　　第二步、打开我的电脑，进行搜索：alga。将搜索到的文件全部删除，然后继续搜索：iexp1ore（注意：非iexplore，中见不是L，是123的1，系统中的文件是L），将搜索到的文件一并删除！继续搜索以下几个文件：Lgsyzr、O2FLASH、处理结果同上！

　　第三步、进入注册表（运行里输入regedit）：按F3查找以下几项：Lgsyzr、O2FLASH、alga、iexp1ore,iexplora,servicea将搜索出来的值项都删除去，

　　第四步、开始-运行。输入msconfig。将启动项中的alga、iexp1ore都禁止！重新启动电脑。然后进入SYSTEM下删除ALGA文件（搜索也行，那样快点）

　　注：熊猫烧香专杀可杀次病毒