标题: 发现一个奇怪的问题 [打印本页]

---

作者: fwind     时间: 2009-3-17 16:53    标题: 发现一个奇怪的问题



昨天微点突然报告说我机器上的 UserInit.exe 文件是未知木马。提示是否上报，我选择了上报。然后去 http://www.virustotal.com/zh-cn/ 把报毒的文件扫描了一下，没有任何一个杀毒软件报告它是病毒。确认是微点误报。当然，到现在，只是一个误报事件，问题在后面。

当我回头找微点的日志的时候，发现“安全日志”下的任何一个日志，均找不到这个报毒记录，这就是问题了。我最后是在进程启动日志中，发现了这么一条进程启动的日志。而在微点的进程“综合信息”里，UserInit进程好好的待在“windows系统”进程中。我点击“诊断”，也没有异常。

今天第二次发生这个现象，我截了图，请检查微点为什么会发生这个问题。

我认为这里微点犯了至少两个错误：1，误报Userinit进程；2，没有正确记录日志。

---

作者: snhao     时间: 2009-3-17 17:03
是否误报还不好说，还是让工程师来确认吧。
过所有杀软过不了微点的病毒也不是没有。

---

作者: fwind     时间: 2009-3-17 17:05
不是误报的话，为什么在进程中userInit能够继续存在？而且，还被归结在“windows系统”进程组，而且，“诊断”的结果显示无异常呢？

---

作者: snhao     时间: 2009-3-17 17:09
userInit本身就是系统进程，如果对它开刀会造成系统异常。

---

作者: 大超超     时间: 2009-3-17 17:09
我怀疑你的UserInit.exe文件被感染了
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动
建议你从正常电脑中复制个正常的Userinit.exe替换过去就行
注：千万别在没替换就删除Userinit.exe文件，后果很严重。

---

作者: Legend     时间: 2009-3-17 17:12
感谢楼主反馈
鉴于UserInit.exe是系统关键文件，强行删除会导致系统瘫痪，请楼主及时将这个文件和微点技术支持信息发送到support@micropoint.com.cn邮箱并附带此贴链接，发送完之后联系QQ在线管理员466248167或383154254，让他们帮您处理这个问题

---

作者: fwind     时间: 2009-3-17 17:15
谢谢，不过我想应该不会是被感染了。

我继续等待微点的结果。反正已经上报，如果正常情况下，过几天应该就有结果了。

但是日志记录的bug，不知道能不能解决。

---

作者: fwind     时间: 2009-3-17 17:20
已经发送邮件。

---

作者: Grendel     时间: 2009-3-17 17:24
没有具体路径，不能确定就是system32下的那个系统文件。

看看你的隔离区中有没有？

---

作者: fwind     时间: 2009-3-18 09:06
如果有的话，我就不认为是bug了。可惜，哪都没有找到。:)

---

作者: jr21066     时间: 2009-3-18 17:25
我是Windows xp32简体中文 sp3
文件的MD5值是: 431FED77E71B1831CD485890159D467C
比较一下文件是否被修改就知道了

---

作者: 凡间幽灵     时间: 2009-3-18 17:38
我的那个文件验证MD5的结果如下：
d41d8cd98f00b204e9800998ecf8427e   userinit.exe;)

---

作者: zqrsc     时间: 2009-3-18 23:13
2个不一致？

---

作者: fwind     时间: 2009-3-19 20:02
自从微点升级到197版本，一直没有发现问题。QQ支持也只是说高度怀疑，但是无法确诊，呵呵。不知道是不是误报。
另外，请问怎么知道验证md5？

---

作者: qishi     时间: 2009-3-20 16:38
楼主反映情况和我3月10日反映的一样，找了个UserInit.exe覆盖后今天又报了，不知是何原因。

---

作者: fwind     时间: 2009-3-20 19:27
很奇怪，不过我现在一直没有再报过，也没有覆盖过文件。

---

作者: gmzd5868     时间: 2009-3-20 22:48

Quote:

Originally posted by jr21066 at 2009-3-18 17:25: 我是Windows xp32简体中文 sp3 文件的MD5值是: 431FED77E71B1831CD485890159D467C 比较一下文件是否被修改就知道了

431fed77e71b1831cd485890159d467c
我的和你的是一样的...

---

作者: Legend     时间: 2009-3-23 17:18
楼主的问题微点已经解决，请等待微点的更新，感谢楼主的反馈，楼主可以先自行将微点所报的文件自行加入微点可信设置中去，
具体设置如下：（微点主界面|安全防护与策略|程序行为实时监控策略|可信程序设置添加即可）
此主题暂做关闭主题处理，如有其他问题，请您另开新帖讨论！

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn