1. Windows任務管理器“應用程序”選項卡中莫名出現“job1”進程。
2. Windows任務管理器“進程”選項卡中用戶名列內容不顯示,是由於Terminal Services服務被禁用,手動開啟服務無效,啟動服務後自動禁用。
3. 運行程序時,CPU使用提高了5%左右,表現為程序運行比較卡。
4. 會有莫名windows自動更新提示要求安裝新補丁更新,但從“添加/刪除程序”可以發現這些更新早就安裝過了。
問題分析
1. 根據System Safety Monitor監控顯示,“job1”進程出現前,“svchost”進程會調用“rundll32”進程。
2. 根據System Safety Monitor監控顯示,“job1”進程出現後,某程序經常訪問網絡。
3. 根據Windows清理助手掃描顯示,重要系統文件userinit.exe文件被非法替換。
4. job1進程通過rundll32.exe進程調用,禁用rundll32.exe進程,job1進程自動終止。
問題解決
不知道怎麽解決,先換回userinit.exe文件再說,看看效果。
暫時處理方法:使用Ststem Safety Monitor阻止rundll32.exe進程的運行。
將userinit.exe文件換回正常文件後,現象2解決。其他問題現象有待觀察。
觀察結果,問題完全解決。都是userinit.exe惹的禍。
@ CSDN下載userinit.exe點這裏。
@ userinit.exe位置:C:\WINDOWS\system32\userinit.exe 和 C:\WINDOWS\system32\dllcache\userinit.exe
問題後記
體驗到了“工欲善其事必先利其器”的道理,這次真是多虧了“windows清理助手”的幫助了,否則還真不知道問題出在 userinit.exe 文件上,SSM也是非常好的IDS,繼續深入探索會很有幫助。
不知道如果這個job1病毒如果會自身隱藏進程怎麽辦,復雜,怎麽查看被隱藏的進程?又是壹個問題。
查看進程需要知道什麽?現在感覺就是要看“進程名,和調用路徑,最好還有是否聯網,使用哪個端口”能知道就更好了。
純粹的復制 別拍我