一.病毒的原理:
1,修改userinit.exe文件,但不改变他的大小和日期.
2,非常熟悉还原软件(或还原卡)的工作原理,不破坏还原,但能穿透.
3,从域名下载文件,而不是基于IP.所以三联的疫苗和封IP的方式都只能治标而不治本.病毒不用变种,就能突破!
4,即使修改HOSTS文件,使域名指向假IP..也防不住变种..
5,病毒占资源不多,客户机不容易发觉!

二.免疫方法:
1.考虑的方法是给userinit.exe加权限或不让userinit.exe运行(autoruns可以做到),没有亲自试验,不知是不是有副作用.因为这个病毒很明显是针对网吧设计出来的.
2.免疫igm.exe解决方法专杀工具机器狗类穿透还原病毒userinit.exe
解决方案,永久搞定,彻底搞定.对变种有效.2007-11-03 17:35中毒的现象:
userinit.exe正常的位置在C:\WINDOWS\system32\userinit.exe
并且不在进程中加载,删除后,机器启动到登陆用户界面时就开始不停的登陆,注销,登陆。。。。。。
问题已经解决 发现主程序为userinit.exe文件
位置C:\WINDOWS\system32\userinit.exe
能穿透大多数的保护程序
正常文件的属性(有版本号)  userinit.exe病毒文件的属性(没有版本号)  userinit.exe  1有保护的机器先断网(拔了网线),启动机器,等5分钟左右,如果没有发现进程中加载可疑进程,那么恭喜你了。。。其他文件可能被感染的几率非常小了,这时只查看C:\WINDOWS\system32\userinit.exe文件的属性 看看有没有版本号没有的话,说明文件被感染,这时去掉保护,重起机器(断网),结束userinit.exe进程,然后删除C:\WINDOWS\system32\userinit.exe文件,换一个正常的 解决方法:
1.原理:
每分钟对userinit.exe进行监视,根据软件的DM5码准确无误的判断是否修改过,如果有修改,软件自动生成一个没有修改过的userinit.exe,并以机器狗穿回去!
2.利用注册表法:
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1
md %systemroot%\system32\1\2
copy   /y c:\windows\system32\userinit.exe   c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2 /p everyone:f
echo y|cacls c:\windows\system32\1 /p everyone:n
md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe   >nul 2>nul
md c:\WINDOWS\DiskMan32.exe   >nul 2>nul
md c:\WINDOWS\IGM.exe   >nul 2>nul
md c:\WINDOWS\Kvsc3.exe   >nul 2>nul
md c:\WINDOWS\lqvytv.exe   >nul 2>nul
md c:\WINDOWS\MsIMMs32.exe   >nul 2>nul
md c:\WINDOWS\system32\3CEBCAF.EXE   >nul 2>nul
md %windir%\system32\drivers\svchost.exe >nul 2>nul
md c:\WINDOWS\system32\a.exe   >nul 2>nul
md c:\WINDOWS\upxdnd.exe   >nul 2>nul
md c:\WINDOWS\WinForm.exe   >nul 2>nul
md c:\WINDOWS\system32\rsjzbpm.dll   >nul 2>nul
md c:\WINDOWS\system32\racvsvc.exe   >nul 2>nul
md c:\WINDOWS\cmdbcs.exe   >nul 2>nul
md c:\WINDOWS\dbghlp32.exe   >nul 2>nul
md c:\WINDOWS\nvdispdrv.exe   >nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll   >nul 2>nul
md c:\WINDOWS\system32\dbghlp32.dll   >nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll   >nul 2>nul
md c:\WINDOWS\system32\yfmtdiouaf.dll   >nul 2>nul
echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul
echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul
echo y|cacls.exe   c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul
echo reg add "HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution
Options\IGM.EXE" /v debugger /treg_sz /d debugfile.exe /f
echo gpupdate

exit
下面是注册表部分!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 
5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 
00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 
00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 
5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 
00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
另存为*.reg
运行以上两个文件,立即搞定.
3.防userinit.exe修改方法:
第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe
第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的
Userinit键值:C:\WINDOWS\system32\userinit.exe,
为:C:\WINDOWS\system32\mylogin.exe,
注意键值后面有个英文逗号
第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限!
三.相关知识
文件名: userinit.exe
显示名: Microsoft? Windows? 操作系统
描述: Userinit 登录应用程序
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
文件类型: 应用程序
文件路径: C:\Windows\system32\userinit.exe
文件大小: 24576
文件版本: 6.0.5744.16384 (vista_rtm_edw.061003-1945)
安装日期: 2006/10/4 13:41:53
启动类型: 注册表: 本地计算机
位置: SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit
分类: 允许的
与操作系统一起提供: 是
   Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。Userinit.exe也有可能是***伪装的***程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是***程序。
 
来源:维度网-每个人都有自己的维度