AI 助理
备案控制台
开发者社区 安全 文章 正文

输入密码登录系统后又自动注销?原来是机器狗惹的祸1

2024-09-29 7
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云数据库 RDS SQL Server,基础系列 2核4GB
推荐场景:
SQL Server性能诊断案例分析
RDS SQL Server Serverless,2-4RCU 50GB 3个月
推荐场景:
简介: 输入密码登录系统后又自动注销?原来是机器狗惹的祸1

一位网友因为好奇而打开了有激情照的网页连接,不幸中标。在用瑞星查杀病毒后就出现了问题:输入帐户密码登录系统后又自动注销。引起这种情况的原因一般是Windows系统文件userinit.exe出的问题。

 用Windows XP的安装光盘启动,选择恢复控制台,用命令

dir c:/windows/system32/userinit.exe

 检查,果然没有列出userinit.exe的信息。

 用命令:

copy c:/windows/system32/dllcache/userinit.exe c:/windows/system32

将c:/windows/system32/dllcache中的 userinit.exe 复制到 c:/windows/system32,然后输入命令:exit 重启电脑。

 现在可以正常登录系统了。

 进行桌面后,系统反应还是很慢,打开任务管理器,终止了可疑进程:Sy_Win7k.Jmp。

 检查瑞星的杀毒历史记录如下(删除了一些重复的病毒信息):

病毒名称  处理结果    查杀方式 路径      文件      病毒来源
RootKit.Win32.Mnless.gv         删除成功    手动查杀 C:/WINDOWS/system32/drivers     msaclue.sys          本机
Trojan.Win32.Edog.r  重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  userinit.exe>>upack0.39         本机
Trojan.PSW.Win32.QQGame.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  cmdbcs.dll本机
RootKit.Win32.GameHack.GEN      重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  gnolnait.dll>>upack0.34         本机
Trojan.PSW.Win32.GameOL.b       重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  auhad.dll>>upack0.34 本机
Trojan.PSW.Win32.QQGame.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  upxdnd.dll本机
Trojan.DL.Win32.Mnless.wp       重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  HDDGuard.dll         本机
RootKit.Win32.GameHack.GEN      重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  iqnauhc.dll>>upack0.34          本机
Trojan.PSW.Win32.SunOnline.ma   删除成功    手动查杀 C:/WINDOWS/system32  vsdkuyfwow.dll>>upack0.34       本机
Trojan.PSW.Win32.SunOnline.ma   重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  lfluaglwow.dll>>upack0.34       本机
Trojan.PSW.Win32.QQGame.GEN     删除成功    手动查杀 C:/WINDOWS/system32  Kvsc3.dll 本机
RootKit.Win32.GameHack.GEN      重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  niluw.dll>>upack0.34 本机
Trojan.PSW.Win32.XYOnline.aay   重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  sauhad.dll>>upack0.34本机
RootKit.Win32.GameHack.GEN      重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  jsqc.dll>>upack0.34  本机
Trojan.PSW.Win32.SunOnline.md   删除成功    手动查杀 C:/WINDOWS/system32  lgpwsyewm.dll>>upack0.34        本机
Trojan.PSW.Win32.SunOnline.md   重新启动计算机后删除文件 手动查杀 C:/WINDOWS/system32  ayipjouwm.dll>>upack0.34        本机
Trojan.PSW.Win32.SunOnline.ma   删除成功    手动查杀 C:/WINDOWS/system32  HHHCompress.dll>>upx_c          本机
RootKit.Win32.GameHack.GEN      重新启动计算机后删除文件手动查杀 C:/WINDOWS/system32  gnaixnauhqq.dll>>upack0.34      本机
Trojan.PSW.Win32.SunOnline.md   删除成功    手动查杀 C:/WINDOWS/system32  mswmkkk32.dll>>upx_c 本机
RootKit.Win32.Mnless.gw         删除成功    手动查杀 C:/WINDOWS/Temp      tmp19.tmp 本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSWinForm.exE>>upack0.32          本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSnsiuxhqqw.exe>>upack0.32        本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSveobdkwq.exe>>upack0.32         本机
Trojan.PSW.Win32.GameOL.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWSvviecohb.dll>>upack0.34         本机
Trojan.PSW.Win32.GameOL.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWSphwvisxr.dll>>upack0.34         本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSuwdxchlm.exe>>upack0.32         本机
Trojan.PSW.Win32.GameOL.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWSouxwldzx.dll>>upack0.34         本机
Trojan.PSW.Win32.GameOL.GEN     重新启动计算机后删除文件 手动查杀 C:/WINDOWSuwdxchlm.dll>>upack0.34         本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSupxdnd.exe>>upack0.32本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWScmdbcs.exe>>upack0.32本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSKvsc3.exE>>upack0.32 本机
Trojan.PSW.Win32.QQGame.GEN     删除成功    手动查杀 C:/WINDOWSLotusHlp.exe>>upack0.32         本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/WINDOWSPTSShell.exe>>upack0.32         本机
RootKit.Win32.GameHack.geo      删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temp    tmp13.tmp 本机
Trojan.PSW.Win32.GameOL.GEN     删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/4D2J49E3       1[1].exe>>upack0.32  本机
Trojan.PSW.Win32.GamesOnline.ma 删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/4D2J49E3       5[1].exe>>upack0.36  本机
Trojan.PSW.Win32.XYOnline.abc   删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/OXIRKXMV       10[1].exe>>upack0.36 本机
Trojan.PSW.Win32.QQHX.tvu       删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/OXIRKXMV       13[1].exe>>upack0.36 本机
Trojan.PSW.Win32.QQHX.tvu       删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/OXIRKXMV       16[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GamesOnline.mh 删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/0P6VST6B       14[1].exe>>upack0.36 本机
Trojan.PSW.Win32.SunOnline.md   删除成功    手动查杀 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/0P6VST6B       17[1].exe>>upx_c     本机
 
病毒名称             处理结果    查杀方式 访问染毒文件的进程          文件
Trojan.Win32.Edog.k  删除成功    文件监控 C:/PROGRAM FILES/REAL/REALPLAYER/REALPLAY.EXE     C:/WINDOWS/system32/a.exe>>nspack
Trojan.Win32.Edog.r  删除成功    文件监控 C:/WINDOWS/system32/lssass.exe>>upack0.39
RootKit.Win32.GameHack.GEN      删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/niluw.dll>>upack0.34
RootKit.Win32.GameHack.GEN      删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/jsqc.dll>>upack0.34
Trojan.PSW.Win32.GameOL.GEN     删除成功    文件监控 C:/WINDOWS/EXPLORER.EXE     C:/WINDOWS/nsiuxhqqw.exe>>upack0.32
RootKit.Win32.GameHack.GEN      删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/iqnauhc.dll>>upack0.34
RootKit.Win32.GameHack.GEN      删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/gnolnait.dll>>upack0.34
Trojan.PSW.Win32.GameOL.b       删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/auhad.dll>>upack0.34
Trojan.PSW.Win32.XYOnline.aay   删除成功    文件监控 C:/PROGRAM FILES/MICROSOFT SQL SERVER/MSSQL/BINN/MSSQL/BINN/SQLSERVR.EXEC:/WINDOWS/system32/sauhad.dll>>upack0.34

原来是机器狗Trojan.Win32.Edog.r在作怪,它替换了系统文件userinit.exe,后来又被瑞星杀掉,于是Windows系统找不到userinit.exe,从而引发了无法登录的故障。

下载 pe_xscan 扫描 log,扫描过程中瑞星又检测到几个病毒:
/---
病毒名称                        处理结果    查杀方式 访问染毒文件的进程          文件
Trojan.PSW.Win32.QQPass.GEN     删除成功    文件监控 C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.EXE   C:/Program Files/Internet Explorer/PLUGINS/WinSys8k.Sys
Trojan.PSW.Win32.QQPass.GEN     删除成功    文件监控 D:/PE_XSCAN.EXE          C:/Program Files/Internet Explorer/PLUGINS/Sys_Win7s.Jmp>>upx_c>>FILE

RootKit.Win32.GameHack.geu      删除成功    文件监控 D:/TOOLS/BAT_DO.EXE      C:/WINDOWS/system32/drivers/msyecp.sys
RootKit.Win32.Mnless.gv         删除成功    文件监控 C:/TOOLS/FILEINFO.EXE    C:/WINDOWS/system32/DRIVERS/msaclue.sys
---/

在pe_xscan的log中发现可疑项:

/===
pe_xscan 08-01-29 by Purple Endurer
2008-2-15 12:13:42
Windows XP Service Pack 2(5.1.2600)
管理员用户组 C:/WINDOWS/EXPLORER.EXE* 1668 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE 
   C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WINSYS8K.SYS
C:/WINDOWS/SYSTEM32/CTFMON.EXE* 1704 | 2004-8-23 16:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE 
   C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WINSYS8K.SYS


O2 - BHO - {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} - C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WINSYS8K.SYS
O4 - HKLM/../POLICIES/EXPLORER/RUN: [NSIUXHQQW]  NSIUXHQQW.EXE

O23 - 服务: ATI2HDDSRV (ATI2HDDSRV) - C:/WINDOWS/SYSTEM32/DRIVERS/ATI32SRV.SYS (手动) 
O23 - 服务: MSERTK (MSERTK) -  SYSTEM32/DRIVERS/MSYECP.SYS (将启) 
O23 - 服务: MSSKYE (MSSKYE) -  SYSTEM32/DRIVERS/MSACLUE.SYS (将启) 
O23 - 服务: DEEPFREE UPDATE (DEEPFREE UPDATE) - C:/WINDOWS/SYSTEM32/DRIVERS/PCIHDD2.SYS (手动) 
O23 - 服务: PCIHARDDISK (PCIHARDDISK) - C:/WINDOWS/SYSTEM32/DRIVERS/PCIDISK.SYS (手动)
O24 - SHLEXECHOOK: [] - {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} = C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WINSYS8K.SYS

O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360Safe.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: adam.exe -> ntsd -d
O26 - IFEO: AgentSvr.exe -> ntsd -d
O26 - IFEO: AppSvc32.exe -> ntsd -d
O26 - IFEO: autoruns.exe -> ntsd -d
O26 - IFEO: avconsol.exe -> ntsd -d
O26 - IFEO: avgrssvc.exe -> ntsd -d
O26 - IFEO: AvMonitor.exe -> ntsd -d
O26 - IFEO: avp.com -> ntsd -d
O26 - IFEO: avp.exe -> ntsd -d
O26 - IFEO: ccSvcHst.exe -> ntsd -d
O26 - IFEO: EGHOST.exe -> ntsd -d
O26 - IFEO: FTCleanerShell.exe -> ntsd -d
O26 - IFEO: FYFireWall.exe -> ntsd -d
O26 - IFEO: HijackThis.exe -> ntsd -d
O26 - IFEO: IceSword.exe -> ntsd -d
O26 - IFEO: iparmo.exe -> ntsd -d
O26 - IFEO: Iparmor.exe -> ntsd -d
O26 - IFEO: isPwdSvc.exe -> ntsd -d
O26 - IFEO: kabaload.exe -> ntsd -d
O26 - IFEO: KaScrScn.SCR -> ntsd -d
O26 - IFEO: KASMain.exe -> ntsd -d
O26 - IFEO: KASTask.exe -> ntsd -d
O26 - IFEO: KAV32.exe -> ntsd -d
O26 - IFEO: KAVDX.exe -> ntsd -d
O26 - IFEO: KAVPF.exe -> ntsd -d
O26 - IFEO: KAVPFW.exe -> ntsd -d
O26 - IFEO: KAVSetup.exe -> ntsd -d
O26 - IFEO: KAVStart.exe -> ntsd -d
O26 - IFEO: KISLnchr.exe -> ntsd -d
O26 - IFEO: KMailMon.exe -> ntsd -d
O26 - IFEO: KMFilter.exe -> ntsd -d
O26 - IFEO: KPFW32.exe -> ntsd -d
O26 - IFEO: KPFW32X.exe -> ntsd -d
O26 - IFEO: KPfwSvc.exe -> ntsd -d
O26 - IFEO: KRegEx.exe -> ntsd -d
O26 - IFEO: KRepair.com -> ntsd -d
O26 - IFEO: KsLoader.exe -> ntsd -d
O26 - IFEO: KVCenter.kxp -> ntsd -d
O26 - IFEO: KvDetect.exe -> ntsd -d
O26 - IFEO: KvfwMcl.exe -> ntsd -d
O26 - IFEO: KVMonXP.kxp -> ntsd -d
O26 - IFEO: KVMonXP_1.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvolself.exe -> ntsd -d
O26 - IFEO: KvReport.kxp -> ntsd -d
O26 - IFEO: KVScan.kxp -> ntsd -d
O26 - IFEO: KVSrvXP.exe -> ntsd -d
O26 - IFEO: KVStub.kxp -> ntsd -d
O26 - IFEO: kvupload.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: KvXP.kxp -> ntsd -d
O26 - IFEO: KvXP_1.kxp -> ntsd -d
O26 - IFEO: KWatch.exe -> ntsd -d
O26 - IFEO: KWatch9x.exe -> ntsd -d
O26 - IFEO: KWatchX.exe -> ntsd -d
O26 - IFEO: MagicSet.exe -> ntsd -d
O26 - IFEO: mcconsol.exe -> ntsd -d
O26 - IFEO: mmqczj.exe -> ntsd -d
O26 - IFEO: mmsk.exe -> ntsd -d
O26 - IFEO: Navapw32.exe -> ntsd -d
O26 - IFEO: nod32.exeNavapsvc.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: NPFMntor.exe -> ntsd -d
O26 - IFEO: OllyDBG.EXE -> ntsd -d
O26 - IFEO: OllyICE.EXE -> ntsd -d
O26 - IFEO: PFW.exe -> ntsd -d
O26 - IFEO: PFWLiveUpdate.exe -> ntsd -d
O26 - IFEO: procexp.exe -> ntsd -d
O26 - IFEO: QHSET.exe -> ntsd -d
O26 - IFEO: QQDoctor.exe -> ntsd -d
O26 - IFEO: QQKav.exe -> ntsd -d
O26 - IFEO: RegTool.exe -> ntsd -d
O26 - IFEO: rfwProxy.exe -> ntsd -d
O26 - IFEO: rfwstub.exe -> ntsd -d
O26 - IFEO: safelive.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: shcfg32.exe -> ntsd -d
O26 - IFEO: SREng.EXE -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: SysSafe.exe -> ntsd -d
O26 - IFEO: TrojanDetector.exe -> ntsd -d
O26 - IFEO: Trojanwall.exe -> ntsd -d
O26 - IFEO: TrojDie.kxp -> ntsd -d
O26 - IFEO: UIHost.exe -> ntsd -d
O26 - IFEO: UmxAgent.exe -> ntsd -d
O26 - IFEO: UmxAttachment.exe -> ntsd -d
O26 - IFEO: UmxCfg.exe -> ntsd -d
O26 - IFEO: UmxFwHlp.exe -> ntsd -d
O26 - IFEO: UmxPol.exe -> ntsd -d
O26 - IFEO: UpLive.exe -> ntsd -d
O26 - IFEO: vsstat.exe -> ntsd -d
O26 - IFEO: webscanx.exe -> ntsd -d
O26 - IFEO: WoptiClean.exe -> ntsd -d
===/
文章标签:
云数据库 RDS SQL Server 版
Windows
数据安全/隐私保护
安全
相关实践学习
使用SQL语句管理索引
本次实验主要介绍如何在RDS-SQLServer数据库中,使用SQL语句管理索引。
SQL Server on Linux入门教程
SQL Server数据库一直只提供Windows下的版本。2016年微软宣布推出可运行在Linux系统下的SQL Server数据库,该版本目前还是早期预览版本。本课程主要介绍SQLServer On Linux的基本知识。 相关的阿里云产品:云数据库RDS SQL Server版 RDS SQL Server不仅拥有高可用架构和任意时间点的数据恢复功能,强力支撑各种企业应用,同时也包含了微软的License费用,减少额外支出。 了解产品详情: https://www.aliyun.com/product/rds/sqlserver
游客qeoynko2nmbgk
目录
相关文章
尚思卓越
|
5月前
|
安全 数据可视化 数据挖掘
跟弱口令说“拜拜”
数据泄漏现象频发,弱口令账号广泛存在
尚思卓越
47 0
游客qeoynko2nmbgk
|
2天前
|
安全 JavaScript 前端开发
输入密码登录系统后又自动注销?原来是机器狗惹的祸2
输入密码登录系统后又自动注销?原来是机器狗惹的祸2
游客qeoynko2nmbgk
7 0
hnrk7epeorhrk
|
4月前
|
前端开发 JavaScript 程序员
老程序员分享:phpwind之关闭账号通
老程序员分享:phpwind之关闭账号通
hnrk7epeorhrk
23 0
老周聊架构
|
Java 数据安全/隐私保护 开发者
全球最大同性交友网站的所有用户密码都无法登录!!!
全球最大同性交友网站的所有用户密码都无法登录!!!
老周聊架构
249 0
全球最大同性交友网站的所有用户密码都无法登录!!!
萤火架构
|
存储 安全 前端开发
技术人员必须知道的手机验证码登录风险
技术人员必须知道的手机验证码登录风险
萤火架构
364 0
Lux_Sun
程序人生 - 非浙A车辆转入申领浙A区域号牌转籍申请问题温馨提示
程序人生 - 非浙A车辆转入申领浙A区域号牌转籍申请问题温馨提示
Lux_Sun
101 0
程序人生 - 非浙A车辆转入申领浙A区域号牌转籍申请问题温馨提示
扬朋
|
数据安全/隐私保护
支付密码已被锁定,建议你找回密码-沙箱报错
说明:   这个报错只会在沙箱接口测试中报错。  注意:沙箱默认支付密码都是6个1(数字) 报错截图:  建议:   等待三小时,三个小时候自动解锁。再进行测试(没有别的处理途径)。 原因: 沙箱是没办法进行密码找回功能,等待3小时以后锁定会自动解除。 如果您还有疑问欢迎在本帖下方留言
扬朋
1310 12
牛哥来云栖
个人邮箱登陆有问题怎么办?
个人邮箱登陆登录地址https://mail.aliyun.com/ 由于阿里云个人邮箱属于免费个人云邮箱,而免费个人云邮箱问题目前不提供工单技术支持,那么一旦个人邮箱登录中遇到问题怎么办呢? 一.可以通过登录页面右上角的“服务中心”自助查询问题解决办法。
牛哥来云栖
18145 0
wwwif98com
程序人生:织梦dedecms后台/会员验证码关闭
wwwif98com
1593 0
1291731906826133
|
安全 开发者
苹果开发者账户需要同意并添加电话号码,苹果账号忘记验证问题解决方案
登录https://developer.apple.com发现苹果需要开发者必须同意新的协议!      由于忘记以前填写的问题答案一直没发进行验证。重置安全问题认证的时候提示:信息不足无法绕过安全问题认证。
1291731906826133
1588 0