这些日子又对杀软感兴趣了,经常到长枫论坛下载单文件绿色版的杀毒软件。有卡巴、Avast、趋势 、小红伞、大蜘蛛、驱逐舰、熊猫卫士等等。都是免费的。因为长枫论坛对杀软做了破解处理,只杀毒 ,不监控,不增加系统文件和注册表文件,随用随开,关闭后就退出系统。可以作为辅助杀软。这些杀 毒软件都是世界级水平的,杀毒能力不容置疑;在怀疑有病毒而电脑常驻杀软检测不出来时,可以用这 些绿色单文件杀软来辅助杀毒。病毒库每个周升级一次。
      
      我下载这些杀软用在PE上,因为用PE启动系统后可以很容易对系统进行维护,包括格式化硬盘等等, 在PE下杀毒有巨大的优势:不动用硬盘数据,就不会激活病毒,就可以轻易清除一些感染型病毒和关联 型病毒,而且这些杀软杀毒能力非常强大,基本上不用再来第二遍。
 
       这一次下了一个金山清理专家,下来后开始给系统打分:42分,提示系统文件userinit.exe异常。随 后到了该文件所在的路径:C:\Windows\system32\userinit.exe下查看,发现没有微软签字,再看看系 统启动项,提示该文件随系统启动,而且是不明文件。这样我就蒙了,以为中机器狗病毒了。
 
       提示:在正常的Windows系统中,userinit.exe起着非常重要的作用——加载和管理启动项。在开机 后打开资源管理器,会发现userinit.exe进程存在,但很短时间后就消失了,因为启动项已经加载和运 行了。但被病毒攥改的userinit.exe进程不会消失。一旦该进程被攥改,可能出现两种后果:1,开机进 不了桌面;2虽然开机进了桌面,但病毒也随之运行。这两种后果是由两种不同的病毒导致的,第二种就 是机器狗。
   
        然后就上网查资料,在金山毒霸论坛发现了解决方法:用正常的userinit.exe文件替换,并在注册表 上删除映像劫持选项(HKEY_LOCATE_MACHINE\software\Microsoft\WindowsNT\Current Version\ImageFileExecutionOption,删除userinit的数值或者连ImageFileExecutionOption都删除), 然后再在HKEY_LOCATE_MACHINE\software\Microsoft\WindowsNT\Current Version\winlogon中将 userinit选项值改为正确的路径(C:\Windows\system32\userinit.exe)。至于怎样替换就不管了,可 以从正常电脑拷贝,也可以用PE上或Windows安装光盘上提取。
  
        得知了方法后,就把电脑重新启动到正常模式下(装了RVS虚拟影子),然后一步一步照做。不料做 完了之后再用金山检测,仍然是42分!
      
       正一筹莫展时,突然发现任务管理器上出现两个Explor.exe进程!天啊,又有病毒伪装成系统进程了 。于是又上网查Explor.exe,有位高手这样写:1,另一个Explor.exe进程路径也许不在C:\Windows下而在 C:\Windows\system32下,就是病毒;2,可以分辨出Explor.exe进程名字可能是0代替o,或1(一)代 替L,则这个进程是病毒。接下来是大篇的手工清除方法,最后这位老兄加了句:在使用Windows优化大 师时如果勾选“启动时为桌面和Explor创建独立进程”时,也会出现两个Explor.exe进程(这样菜单打 开速度较快,但耗内存)。天!自己就是这样啊,于是这个“病毒”解决了。
       
       还回到第一个病毒上,我用了手头上所有的杀软扫描C盘,包括电脑常驻杀软nod32,都没有提示发现 机器狗病毒。再慢慢静下心来,想想是否是做了机器狗免疫,只能是RVS虚拟影子了。因为这类包括还原 精灵在内的还原软件也只有机器狗能穿过。于是取消RVS的免疫,再用金山扫描,哈,是100分。去 userinit.exe进程路径看看,微软的签字又回来了!RVS这个免疫可以有效地保护自己,却让我大大虚惊 了一场。