详解新网银木马清除技巧
近日,金山反病毒中心截获一特殊的新网银木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案。
以下是新网银木马病毒的详细分析:
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的新网银木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如 userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe 等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
新网银木马病毒症状
1、生成文件:
%windir%\mshelp.dll %windir%\mspw.dll |
2、添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power |
3、主要危害
查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。
4、其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5、备份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls %windir%\notepad.exe -> %system%\dllcache\c_20601.nls %system%\calc.exe -> %system%\dllcache\c_20218.nls |
6、用病毒文件替换下列文件
%system%\notepad.exe %windir%\calc.exe %system%\userinit.exe %system%\dllcache\notepad.exe %system%\dllcache\calc.exe %system%\dllcache\userinit.exe |
7、备份
会在根目录下创建文件夹RECYCLER..,存放病毒备份。
8、删除windows目录下的下列文件
notepad.exe calc.exe userinit.exe svchost.exe |
9、该病毒会自动更新
因为病毒程序用自身替换了userinit.exe,重启系统时,会发现无法登录,反复注销。出现这个情况时,不必忙着重装系统,修复还是需要花一些功夫的,请参考以下解决方案:
新网银木马清除方案一、使用WINPE光盘引导后修复
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options |
下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
下找到里面的Userinit键值,将其数据修改为系统默认的值“C:\WINDOWS\system32\UserInit.exe”如图所示:
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到 I386目录下system32目录,右键单击userinit.exe文件后选择“复制到”,将默认路径X:\windows\system32输入对 话框中(X 为系统盘符,通常为C盘) 如图所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
新网银木马清除方案二:使用注册表编辑器编辑远程计算机的注册表
因方案一需要的WINPE光盘不是每个人都有,故提出使用注册表编辑器编辑远程计算机的注册表的方法。此方法仅供遇到此类现象的人士参考处理,系统 没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都有,这里补充另一个方法:你可以使用局域网中其它计算机 完成本机的注册表修复。
Windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。
新网银木马清除步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表。
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。
根据该病毒的行为,病毒将userinit.exe重命名为c_20911.nls,并从c:\windows\system32目录移动到了c: \windows\system32\dllcache\c_20911.nls,我们只需要使用copy命令,还原这个文件就可以。
命令为
copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32 |
重启,你的系统就恢复了。
新网银木马清除就向你介绍到这里,希望对你认识和清除该新网银木马有所帮助。
转载于:https://www.cnblogs.com/top5/archive/2009/09/30/1577044.html
详解新网银木马清除技巧相关推荐
- 新网银木马BankJp详细分析与清除
病毒名:Win32.Troj.BankJp.a.221184 这是一个具有破坏性的新网银木马病毒.会查找"个人银行专业版"的窗口并盗取网银账号密码,如招商银行等:该病毒还会替换大量 ...
- 【幻灯片分享】Siri:I,robot! Siri语音识别系统详解 | 新浪 张俊林 | iOS DevCamp
iOS平台应用详解:<Siri:I,robot! Siri语音识别系统详解> | iOS DevCamp 话题简介:Siri是苹果公司发布的广受关注的iOS平台应用,它不仅仅是一套语音识别 ...
- dpo指标详解买入绝技_DPO指标详解:dpo指标使用技巧
DPO指标的名称就是区间震荡线,很多投资者对于该指标的用法上一直存在着模糊的状态,如果您想要学习DPO指标的话,那今天小编为大家带来DPO指标详解及相关的使用技巧. 一.介绍 DPO指标是什么?它是一 ...
- Linux编写脚本nsum求和,详解Linux Shell脚本编写技巧,附实例说明
原标题:详解Linux Shell脚本编写技巧,附实例说明 Linux Shell是一个很难的知识板块.虽然大家都认真学,基本的语法很都掌握,但有需求时,很难直接上手编程,要么写了很久,要么写不好!对 ...
- java阴阳师抽卡算法_阴阳师详解新的抽卡机制 全图鉴和SP获取更加简单
原标题:阴阳师详解新的抽卡机制 全图鉴和SP获取更加简单 阴阳师随着大岳丸活动的临近,马上大家就要再次进入抽卡的热潮中了,而这次的新SSR大岳丸的获取,又一次更新了新的抽卡机制,本次就带来新抽卡机制详 ...
- RunDll32.exe 详解及[Windows批处理]清除IE缓存
Rundll32命令详解 文件作用:执行32位DLL文件中的内部函数 位置:X:(当前系统分区)\windows\system32 命令语法: Rundll32.exe DLLname,Functio ...
- 谷粒商城RabbitMQ锁库存逻辑详解--新理解(长文警告)
前言 不废话,上来就说,代码我会放挺多,写过这个项目的自然能懂,如果真的像理解的请认真看哦 分析 /*出现的问题:扣减库存成功了,但是由于网络原因超时,出现异常,导致订单事务回滚,库存事务不回滚(解决 ...
- 用计算机函数查找,Excel查找函数Vlookup详解及应用示例-excel技巧-电脑技巧收藏家...
Excel查找函数Vlookup详解及应用示例 招如其名.此招用来在一个茫茫的数据源中,自动让电脑找出你要的某个数据的相关资料并填在指定的地方.也是就是,可以让电脑在一个表格或指定的一个区域中查找某一 ...
- 如何使用计算机Excel公式if,Excel条件函数If详解及应用示例-excel技巧-电脑技巧收藏家...
Excel条件函数If详解及应用示例 此招用来对某一条件执行的真假值进行判断,根据逻辑计算的真假值,返回不同结果.如果结果为真,则返回一个真,如果为假,则返回另一值,可谓左右逢源. 使用语法 IF(l ...
最新文章
- 10. JavaScript学习笔记——JSON
- android edittext html 图片,Android EditText加载HTML内容(内容包含网络图片) -电脑资料...
- Minimal安装CentOS 7使用yum报This system is not registered to Red Hat Subscription Management.
- html语言标记的特点,HTML的特点
- Linux中如何使用gThumb批量调整图片大小
- Spring 事物传播特性
- IDEA——Git 的设置与使用
- 《大数据》第1期“聚焦”——从系统角度审视大数据计算
- C# 数据类型 数据转换 自己的见解和方式
- 数据仓库专题(14)-数据仓库建设指导原则:一切以就绪数据为主
- 在 VSCode 中配置 PHP 开发环境
- 【系统架构】类图怎么画
- 2015年江苏对口单招计算机试卷答案,2016江苏对口单招试卷 2015年江苏对口单招计算机试卷.doc...
- 十六、 方差分析--使用Python进行双因素方差分析
- 传华为公司又一名技术部员工乔向英猝死
- mariadb数据库基本使用
- macOS Catalina 以上版本使用不了 PPTP协议的(shimo 无法正常使用)
- hotmail手机端_如何在安卓手机上设置Hotmail?
- 卿学姐与诡异村庄(并查集)
- 上穿均线压力的大阳线特征:
热门文章
- JS 字符串的常用操作方法有哪些?
- 巴比特 | 元宇宙每日必读:2022年高校招标的元宇宙相关项目达27个,总价格超过6500万元,供应商称元宇宙校园订单增长迅速...
- 小程序订阅消息授权总结
- linux与ipad屏幕共享
- python企业微信群聊_给企业微信加个群机器人
- 基于点、线数据三维地质建模方法
- 计算机如何修改任务管理器,Win10任务管理器还能怎么改?用XMeters工具补足缺陷...
- NSS修改CODE详细操作教程(附图)及NSS软件下载—5530参考执行
- yum Failed to initialize NSS library恢复
- Something I'll Referrence