【求助】系统仿佛有人侵入！ bbs.ikaka.com

学习的诚者2 - 2007-1-5 15:07:00

每次关机时系统提示“有其它用户登陆到本机，关机将影响他们”，而用sreng时扫描启动项目时提示我Userinit.exe文件被改动。
请问我要如何修复这个被改动的文件？（如图）

bettertiger - 2007-1-5 15:13:00

杀毒扫描系统。

wuzf705 - 2007-1-5 15:15:00

安全模式下杀毒

bettertiger - 2007-1-5 15:18:00

查看所有用户，是否存在其它非授权的用户。你的系统是使用ghost版安装的吗？

学习的诚者2 - 2007-1-6 0:28:00

用卡巴时曾提示有这么一个毒

用瑞星时没提示
这几天我中了一个重毒，但关于系统入侵的迹象是在好几天前的事了。

学习的诚者2 - 2007-1-6 0:29:00

我的系统是非ghost的。

ADL - 2007-1-6 0:32:00

按提示修改

最后英文状态的,不能省

zgr稳得起 - 2007-1-6 0:57:00

引用:

【学习的诚者2的贴子】每次关机时系统提示“有其它用户登陆到本机，关机将影响他们”，而用sreng时扫描启动项目时提示我Userinit.exe文件被改动。
请问我要如何修复这个被改动的文件？（如图）

………………

将下面的红色代码复制到记事本中再将它保存为后缀名为比如“userinit.INF”的文件名，再找到它击右键在右键菜单上选择“安装”即可。请注意下的“C:\WINNT”←（WINDOWS2000）如果是（WINDOWS XP）应该是→“C:\WINDOWS”这个不能弄错了，如果弄错了系统不能启动了请你要特别注意它的“C:\WINNT”和“C:\WINDOWS”文件夹名千万不能搞错了。

[version]
Signature=$CHICAGO$
[defaultinstall]
addreg=My.add.reg
[My.add.reg]
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,Userinit,0,C:\Windows\system32\userinit.exe,

学习的诚者2 - 2007-1-6 12:31:00

感谢楼上几位的热心帮助，我按照7楼老哥的方法弄了inf文件，但安装时却提示“拒绝访问”，请老哥再给点指示。

zgr稳得起 - 2007-1-6 12:39:00

引用:

【学习的诚者2的贴子】感谢楼上几位的热心帮助，我按照7楼老哥的方法弄了inf文件，但安装时却提示“拒绝访问”，请老哥再给点指示。
………………

执行前要先关闭所有监控，防火墙等都关闭它，再者检查你是否有权限，是不是以系统管理员的身份登录，如不是以系统管理员的身份登录是不能修改的？完成之后再开启所有监控却可

tspopo - 2007-1-6 13:47:00

【回复“学习的诚者2”的帖子】错了！

学习的诚者2 - 2007-1-6 20:08:00

我无法使用的原因原来是我的右键功能遭到了毒或是其它什么的修改，我右键点击文件，选择“打开方式”就会出现“拒绝访问”的对话框。
我到百度搜索了这个问题，找到一个修复这问题的注册表

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Unknown]
"AlwaysShowExt"=""
"QueryClassStore"=""

[HKEY_CLASSES_ROOT\Unknown\shell]
@="openas"

[HKEY_CLASSES_ROOT\Unknown\shell\openas]

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,\
6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,\
00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,\
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,\
00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,\
73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00

xqe - 2007-1-6 20:32:00

我的也一直要变`

地区性 - 2007-1-6 20:32:00

每次关机时系统提示“有其它用户登陆到本机，关机将影响他们”，是因为你同时打开多个用户

学习的诚者2 - 2007-1-7 0:12:00

感谢各位的关注和指导。
这个问题应该说有了一个最终结果。我用6楼的ADL朋友说的加“，”号方法后，sreng就没有再警告了。
另外我的机器由于受到毒的影响，右键菜单中的“打开方式”和“安装”都出现“拒绝访问”的情况，修复“打开方式”的方法是使用11楼的注册表文件。
而修复“安装”的方法则如下：

打开控制面板-文件夹选项-文件类型-INF-高级选项-安装(I)-编辑
看用于执行操作的应用程序是不是被病毒修改成rundll32.com之类的.没关系,我们来修改它.指向正确的位置
操作(A):
安装(&I)
用于执行操作的应用程序(L):
C:\WINDOWS\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
点选使用DDE(U)
应用程序(C):
setupapi
主题(T):
System

瑞星卡卡安全论坛