usrinit.exe,OSE.EXE

usrinit.exe

W32.Kedebe.E@mm的一个组件

病毒名称：W32.Kedebe.E@mm
病毒类型：蠕虫

发现日期：2005年7月12日

危害程度：蠕虫复制自身为系统文件夹下的[一个不可打印字符][文件名]，不可打印字符表示为0xA0，在不同操作系统下的显示不同，文件名为如下之一：nbtstat.exe、usrinit.exe、user.exe、winhlp32.exe、telnet.exe、locator.exe、recover.exe、logman.exe、dlhost.exe、logonui.exe、winspol.exe、services.exe、svchost.exe、lsas.exe、rundl32.exe、regedt32.exe、winlogon.exe、wuauclt.exe。在记事本中打开临时文件夹下的[初始文件名].txt文件并显示如下文本：This document cannot be run under older versions. Please install latest version of Notepad. [随机文本]。从带有特定扩展名的文件中收集邮件地址，向收集到的地址发送自身副本。。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件！

 1.主题:求助：usrinit.exe病毒如何清除？

 

兔子在我的系统System32下发现了usrinit.exe进程，在贵网进程查询出是病毒，但是用金山毒霸扫描不出，兔子也没办法一键清除，直接删又删不掉，今天开机又生成了个usrinit.exe.tmp文件，请问我该如何杀它，谢谢！

woaipctutu - 2006-03-04 21:14:00

 

在硬盘中找到以下可疑程序：
C:/WINNT/system32/USRINIT.EXE

 

tnwn1012 - 2006-05-14 19:08:00

 

是啊，我的电脑查到也是这个，在任务管理器里看不到这个进程，兔子杀不掉，如何决解~~望多给几个点子~~~QQ76875606

 

tnwn1012 - 2006-05-14 18:28:00

 

请先上传超级兔子IE修复专家的检测日志，另外请换个杀毒软件来查杀，如卡巴斯基5，更新病毒库后重启到安全模式下查杀。

 

小肥虾 - 2006-03-05 01:02:00

 

IS据说是黑客界的瑞士军刀，偶用着觉得挺好用的。

深山红叶出的安全XP：

能特性：
1、本光盘包括整合了深山红叶安全包的 Windows XP 安装文件(主体内容完整，集合典型SATA驱动等，综合了多家安装光盘的长处)以及深山红叶PE工具箱（执行根目录下的 Autorun.exe 即可调用）。
2、独创安装过程中的系统安全加固，与安装后再进行安全设置相比，安全级别根本不在一个档次！而且任何新手也不必进行任何额外操作，即可安装出一套相当安全的操作系统！
3、附带方便的DOS平台工具箱、袖珍 Linux 和深受爱好者好评的深山红叶PE工具箱（PE系统因体积限制暂未收录），同时支持 DOS/Linux/Grub 等多种方式引导，因此本光盘同时也是一套功能强大、全面的多重引导工具盘！

安全系统特性：
1、本安全安装光盘能够在安装过程中自动对系统进行各种强悍的安全配置；
2、能够用多种途径（三种以上）免疫目前所有已知流氓插件；
3、能够阻止所有已知流氓程序的运行；
3、能够阻止其他 80% 未知木马/病毒的运行；
4、对多种特定类型的木马、病毒能够 100% 阻止（但目前仍然不能保证对所有类型有效）；
5、特别制作的任务管理器和注册表编辑器，不会被恶意程序禁用掉！
6、自动根据绝大多数系统环境进行服务优化；
7、能够几乎 100% 防范网页病毒和网页木马；
8、提供特制的多种系统修复工具，防患于万一。
上述这一切完全不依赖于杀毒软件！

注意：
1、整合后的光盘要求全新安装系统，不建议以升级方式安装（原因是升级安装方式无法保证原有系统的安全性！），但用于现有Windows XP系统的修复式安装仍然是可行的。
2、安装时磁盘分区一定要以 NTFS 格式进行格式化！
3、对原版安装光盘更换了一些难看的墙纸；其他功能基本保持不动。
4、系统安装后，开始菜单的程序组中有相关安全设置工具，但针对系统的固化操作必须在用户完成所有硬件驱动程序的安装，以及各种大型软件的安装（如Office等）之后再应用，否则可能导致意想不到的安装困难！
5、本安全系统主要是验证一种新的安全加固思路，目前仍然不能保证 100% 免除恶意程序的侵害。因此目前仍然不能完全替代杀毒软件！
6、使用本安全系统安装纯属您个人自愿，制作者不对您使用、传播、修改等造成的一切直接或间接不良后果负任何直接或间接责任！
7、用户安装应用程序请安装到默认程序目录下的、专门创建的分类子文件夹中。目的是禁止恶意程序自动在程序目录下直接生成病毒文件夹。
8、安装应用程序时，建议尽量不要直接在 Program Files 下创建程序目录，而是分门别类地将程序安装到分类子目录中（已经预置了几个典型的程序分类目录，以“！”号开头以方便排序查找定位并与系统本身的目录相区别）。此后你可以设置 Program Files 目录的权限为不允许创建任何子目录，以阻止一些未知的流氓程序在此创建新的目录。其他部分目录也可照此处理。
9、安装后，桌面上有几个预备好的快捷方式，如“用户数据文件夹迁移”、“系统管理员口令设置”等，请首次进入系统后，立即运行并做好相关设置，以加强系统的安全性！执行完毕后这些快捷方式会自动从桌面删除，但此后您仍然可以从开始菜单的安全工具程序组中调用它们。
10、刻录光盘时，如果您得到的是RAR格式的压缩包，则需要先解压出 ISO 格式的光盘映像文件，然后直接刻录光盘映像（而不是将映像本身以添加数据文件的方式刻录）。推荐使用 Nero 刻录工具，注意刻录选项中选中“光盘一次性刻录”，使用 700MB 普通标准 CD-R 光盘即可。如果您将 ISO 映像以刻录数据文件的方式进行刻录，则刻录后的光盘将无法引导也无法使用！

 

老这样中毒也不是办法，红叶与XP自带的组策略双剑合并，安全性很大的提高。

 

hellovfp - 2006-03-05 00:13:00

 

请上传IE扫描记录。

 

qhlbh - 2006-03-04 22:47:00

这是一个蠕虫病毒，用升了级的病毒库就可以查杀。

qhlbh - 2006-03-04 22:23:00

我的病毒库是金山毒霸最新的，可是还查不出，更不要说杀了！

woaipctutu - 2006-03-04 22:38:00

 

一、禁用XP的系统还原

二、开始－》运行》Services.msc，找到Windows Update服务，双击，禁用此服务。

三、按Ctrl Alt Delete，调用进程管理，找到usrinit.exe，结束进程。

四、运行Regedit.exe,找到如下分支

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run

删除"WindowsUpdate" = "%System%/USRINIT.EXE"键值。

再展开分支：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services

删除 "Windows Update" 键值.

五、重启电脑。

翻译来自赛门铁克网。。没事去看看吧。

Windows NT/2000/XP

To stop the service:
a. Click Start > Programs > Administrative Tools > Services.
b. Right-Click "Windows Update."
c. Set Startup type to "Disabled."
d. Click Stop.


To end the malicious process:

1. Press Ctrl Alt Delete once.
2. Click Task Manager.
3. Click the Processes tab.
4. Double-click the Image Name column header to alphabetically sort the processes.
5. Scroll through the list and look for usrinit.exe.
6. If you find the file, click it, and then click End Process.
7. Exit the Task Manager.
   

4. To scan for and delete the infected files

1. Start your Symantec antivirus program and make sure that it is configured to scan all the files.

   For Norton AntiVirus consumer products: Read the document, "hellovfp - 2006-03-04 21:41:00

   谢谢您的指教，但是按照您的指点操作，在进程管理中找不到usrinit.exe进程，在注册表里也找不到相关键值，无法进行删除，真急人啊！再请高人指点！
   
   
   DLL 文件： usrinit.exe
   DLL 名称： usrinit.exe
    
   描述：
   W32.Kedebe.E@mm蠕虫病毒。该病毒从带有特定扩展名的文件中收集邮件地址，向收集到的地址发送自身副本。试图终止带有某些文本的进程并删除相关文件以降低安全设置。向hosts文件增加条目以阻止对一些与安全相关网站的访问。删除一些安全程序的文件。病毒随机打开一个端口，使用HTTP和SOCKS协议代理。病毒还将扫描局域网，通过网络共享传播。
   
   属于： N/A
   系统 DLL文件： N/A
   常见错误： N/A
   
   安全等级 (0-5): 2
   间谍软件： N/A
   广告软件： N/A
   
   应用劫持防中小狗病毒（usrinit.exe、usErinit.exe）拖垮系统

   1、先复制一原无毒的 userinit.EXE 为 userinit.CMD（或其他名字，请自测，相应也要改动注册文件的转向名称） 在系统目录下！！！（同一文件夹中）

   2、导入
   劫持U$$rinit小狗病毒.REG

   内容如下：（以后变种只要加入劫持的文件名即可！）（请确认以下注册文件的WINDOWS系统目录，引号内路径符为双斜杆）

   Windows Registry Editor Version 5.00

   [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/usrinit.exe]
   "Debugger"="C://WINDOWS//system32//Userinit.cmd"

   [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/usErinit.exe]
   "Debugger"="C://WINDOWS//system32//Userinit.cmd"

   
   3、OK，可以重启了！（注意第一步）

   
   4、系统目录中的 usrinit.exe 或 usErinit.exe 中不中毒不要管它！

   如何测试

   按１、２步骤操作后

   打开运行框

   输入

   usrinit.exe（在系统文件夹中必须存在）

   userinit.exe（在系统文件夹中必须存在）

   看任务管理器是不是已经运行两个userinit.cmd的进程

   并且会打开两个“我的文档”

   证明操作无误！（下次启动能够顺利进入桌面，并且无损原来功能）

   可以放心使用！

关机时经常出现usrinit.exe＼alxup.exe无响应，不知道怎么办，系统是win2Ksp4,iesp1,kv2006．请指教．

运行regedit打开注册表编辑器
然后依次打开注册表项
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon

把Userinit的值userinit.exe后边的 /alxup.exe去掉，注意userinit.exe不要去掉，否则系统没法登录了。

然后重启系统，再关机的话应该就没问题了。

------------------------------------------------------------------------------------

OSE - OSE.EXE - 进程信息
进程文件： OSE 或者 OSE.EXE
进程名称： Microsoft Office Source Engine

描述：
OSE.EXE是微软Microsoft Office套装的一部分，用于CD和Web升级的附加安装支持。


出品者： Microsoft
属于： Microsoft Office Suite

系统进程： 否
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 未知N/A
间谍软件： 否
广告软件: 否
广告软件： 否
木马: 否
参考资料：www.haocool.cn
iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程的安全等级是建议删除
这个东西可以说是病毒，也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:/Program Files/Internet Explorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是IEXPLORE.EXE在C:/WINDOWS/system32/下面，那么这个十有八九都是病毒。
如果你没开IE,一般不会出现iexplore.exe 的,如果有90%中招了～～～
中毒情况如下：浏览器被劫持了，或者病毒名为：IEXPL0RE.EXE，注意，这里是0，不是O
如果是病毒名为IEXPL0RE.EXE，进入安全模式或DOS，最新病毒库查杀，前提是杀毒软件不要太次。
如果是浏览器被劫持，在注册表里搜索所有RUN项，看看是否有可疑文件启动路径，还有搜索IEXPLORE.EXE，看看启动项后面是否有尾巴，也就是有跟随IEXPLORE.EXE启动的项目(例如IE后面跟随 C://windows//system32//***.exe或者.dll）。

iexplore.exe进程－－病毒
系统进程－－伪装的病毒iexplore.exe
Trojan.PowerSpider.ac破坏方法：密码解霸V8.10。又称“密码结巴”
偷用户各种密码，包含：游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广，对广大互联网用户的潜在威胁也巨大。
现象：
1.系统进程中有iexplore.exe运行，注意，是小写字母
2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹，而是WINDOWS32文件夹。
解决办法：
1.到C://WINDOWS//system32下找到iexplore.exe和psinthk.dll完全删除之。
2.到注册表中，找到HKEY_LOCAL_MACHINE//Software//Microsoft//Windows//CurrentVersion
//Run“mssysint”=iexplore.exe,删除其键值

OSE.EXE
进程文件： OSE 或者 OSE.EXE
进程名称： Microsoft Office Source Engine
  
描述：
OSE.EXE是微软Microsoft Office套装的一部分，用于CD和Web升级的附加安装支持。


出品者： Microsoft
属于： Microsoft Office Suite

系统进程： 否
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A   
安全等级 (0-5): 未知N/A
间谍软件： 否
广告软件: 否
广告软件： 否
木马: 否