userinit.exe被刪除前的徵兆…（惡意、蠕蟲程式，預先處理winxp反覆登入登出的動作）

引用原文…協作平台…
文章「圖片」有不能顯示時，請點協作平台…感謝…

上回收到了一次維正 張的lnk惡意程式，這次他老兄又來了一封rar的檔案…
而且還附上密碼668…真感恩耶…（昏）

標題寫的很聳動，我倒覺得還好，因為我信箱三不五時就收到一堆有的沒的信件，什麼哥哥不要啦…妹妹什麼的…
這回來的看來肯定又是騙人…好吧…就給你騙騙…大不了ghost回去…

不過以下實作是已有ghost過（不怕一萬，只怕萬一）避免有漏網之魚跑出去…影響後來之電腦運作，故不是很瞭解系統者就別嘗試了…
後果可不負責哦…


看下圖吧！
附檔是「美麗.rar」密碼是668…而gmail無法協助掃毒…
看看avast是否能掃到？

3月7日收到這封信，下載後avast竟然沒叫，於是就興沖沖的解壓，點下去後也沒做好準備，便出現了…

哦…nevys.exe要直接存取hd…

ok允許存取…於是在c:\windows\system32裡出現了這個傢伙…

又是一個不知內容摘要，莫名的檔案出現了…

這是開啟電腦一啟動時的檔案，立刻發現nevys.exe在裡面了…
不二話…立刻就給他刪掉…

nevys.exe也給他刪掉，沒想到，重開後就不斷的登入登出…
我的userinit.exe被刪掉了…唉…沒想到給他上當了說…（排謝，那天不知道在想什麼…）

後來ghost回去，我還原系統…

3月10日再重覆一下之前的動作…
還沒執行「美麗.exe」之前windows裡的東西…計有130個項目…

而c:\windows\system32目錄下…計有2271個項目。

執行過後…產生一個，不過檔案大小是「0k」？

怪…再試一次…（cgobk真怪名字，英文沒這字）

還是一樣…（英文也查不到這字）

再試第三次…

成功了…檔案大小「93.3k」，MD5 (D:\MD\備份區\temp\美麗\zzenc.exe-vir) = 2FF13E566A6E8F031C0514DA7F1B3026

接著去看啟動部份…
果然料中了…，躲在裡面…

而windows下的項目多一個pif…是不是「美麗.exe」所產生的？不是很清楚…
產生時間與實作時間差不多，但裡面是空的…

system32裡多了二個「0k」的檔案，和一個「zzenc.exe」共三個檔，於是變成2274個項目（原為2271）！

啟動項目裡，看到沒，最後一排！

嗯…還要重新啟動才能用？我用手動的方式好了…看看這個zzenc.exe要蛋麻？

想控制explorer？嗯…允許啦…八成是要透由網路取得檔案肥來…

害我在netlimiter那裡等了好一陣子，防火牆也沒動作反應，封包也沒在跑…
嗯…可能在等我「螢幕保護」時作動吧？

丫…懶的管了…我看看的登錄檔（啟動userinit.exe）裡被寫了什麼東？
哇咧！又來了，難怪每次在「啟動」裡刪掉時，userinit.exe連同被刪掉，造成無法「登入」的情形…

機碼改回原來的「C:\WINDOWS\system32\userinit.exe,」後沒多久又被改回來…

直搗黃「蟲」…結果這傢伙被explorer給鎖住了…
用unlocker解開後，登錄碼還是被鎖（無法改回），哇咧！真是愈來愈有趣了…

後面在程序裡發現了這個東…
原因是「用戶名稱」？沒有，怪怪的…先中止說…看來不是system的，應該不怎麼重要…

不過一般正常來說都是如此（都會有），而我解除被寫入登錄檔時是停止該項程式，可能已遭命令修改執行了吧？
忘了當時去看哪個傢伙去鎖regedit.exe檔了…（如有高手或錯誤處請留言，感謝！）

哦…好玩囉！…接下一個動作喲！

嗯…ok了…也解掉登錄檔被鎖的情形…

嗯…解掉了…

家族集合…

再玩一次…
這次一次就出現了…名稱看來是亂取的…大小內容都跟zzenc一樣…

啟動一定有，刪掉…

刪掉後登入碼就…

但過不久還是再度出現…
再次結束那個svchost那個檔（上面有圖）cmd的指令shutdown -a先傳好…

終止explorer、svchost後，再次去修正regedit的userinit.exe部份…
如此一來就可以解決中木馬及無法登入的問題了…

下午把檔案e給avast參考…

讚哦…隔天就被列為蠕蟲了…

                                                                                                        by necos