Us放给石刚erinit.exe是Windows操作系统一神花那画声个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
- 中文名称 userinit.exe
- 进程文件 userinit 或者 userinit.exe
- 进程名称 UserInit Process
- 出品者 Microsoft Corp.
文件描述
基本信息
属于: Windows
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
详细介绍
系统刚启动时,如果你调出任务管理器就会看到userinit.ex来自e ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的
最近电脑突然卡,发现杀毒软件老是报告userinit.exe被修改
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),审才找到userinit.exe、explorer.exe、ctfmon.exe、停二冲害挥conime.exe文件,城液受兰家北维卷以点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
病毒创建userinit.exe,放入到%systemroot%system32目录下。然后,userinit.exe开始接手工作。userinit.exe进程结束。
打打 userinit.exe上台后,开始创建s360百科vchost.exe进程。任务完成后,抓垂娘章题userinit.exe进程自动结束
svchost.exe就是主角登场了,它开始在本地端口4444号上监控,同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想,估计还会下载其它N多病毒。
通过以上三个动作,病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后,一切进程都稍无声息的消失不见。于是乎,你不小心的话,根本就不会认为你的在束阳容垂兵皮指系统已被成功入侵了。真是天衣无史势缝呀!!前面两个进程,庆诗普把意根棉好清在进程列表里,停留的时间极短,几乎是一闪而过。而后面主角娘雷受svchost.exe,我想你怎么也不会怀疑到它头上。系统服务的核心进程,大部分都是用它启动.
另外,最新的机器狗病毒,arp防火墙监控不到请简乐策极守好华什数水!!
穿破还原后仅振主他介,连接IP为xxx.身散氧革易样况待xxx.xxx.xxx这个留小育际着慢刑渐IP下载更厉害的变种病毒,破坏GHOST文旧件,自动打开SERVER服务,局域内迅速传播!
如果已经被这个病毒迫害了系统,不能登陆,查看慢院编紧给绝北:
机器狗及其变种造成userinit.exe异常的解决方案
解决方法
电脑系统当策背算角工家叶斯文件经常会受到病毒的侵扰,导致系统文件丢失、损坏。从网上下载系统文件进行替换,可能会因为系统文件版本与操作系统不相符造成不兼容的情况;建议使用专业的系统文件修复工接费破阶跳绿块别最具进行修复。
1、下载可倒使范坏故优牛杀毒系统急救箱。
2、点击"开始急救",进行一键式修复,智能匹配与操作系统相符的系统文件。
3、使用可牛免费杀毒对电脑进行全面扫描,清除电脑中存在的潜在危险。
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md %systemroot%\system32\1
md %systemroot%\system32\1\2
copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2 /p everyone:f
echo y|cacls c:\windows\system32\1 /p everyone:n
md
cacls % /e /p everyone:n
echo y|cacls c:\windows\system32\userinit.exe /p everyone:n
md c:\WINDOWS\AVPSrv.exe >nul 2>nul
md c:\WINDOWS\DiskMan32.exe >nul 2>nul
md c:\WINDOWS\IGM.exe >nul 2>nul
md c:\WINDOWS\Kvsc3.exe >nul 2>nul
md c:\WINDOWS\lqvytv.exe >nul 2>nul
md c:\WINDOWS\MsIMMs32.exe >nul 2>nul
md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul
md.exe >nul 2>nul
md c:\WINDOWS\system32\a.exe >nul 2>nul
md c:\WINDOWS\upxdnd.exe >nul 2>nul
md c:\WINDOWS\WinForm.exe >nul 2>nul
md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul
md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul
md c:\WINDOWS\cmdbcs.exe >nul 2>nul
md c:\WINDOWS\dbghlp32.exe >nul 2>nul
md c:\WINDOWS\nvdispdrv.exe >nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul
md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul
md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul
echo y|cacls.exec:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul
echo y|cacls.exe .exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul
echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
echo gpupdate
exit
下面是注册表部分!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
另存为*.reg
运行以上两个文件,立即搞定.
第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe
第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,
为:C:\WINDOWS\system32\mylogin.exe,
注意键值后面有个英文逗号
第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限
手动解决办法
建议按照以下的顺序来自杀毒,以防病毒卷土重来
1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windows/system32/userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。南移环适响概星判在dos窗口输入:
r Options/IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
Opti360百科ons/IGW.EXE" /v debugger /t reg_sz /d debugfile.危味卫断审端厚exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)府吸突浓用继技术,禁止了IGW.exe和IGM.exe的运行。
没 2.进入安全模式,删除注册表键值
删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的"Win仅传报对SysM"、"WinSys"键规每拉组红地利跳厂名值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows称/CurrentVersion/Polici弱尽下es/Explorer/Run] 下的
"MSDEG32"、"MSDWG32"、"MSDCG32"、"MSDOG32"、"MSDSG32"、"MSDMG距松移阶开差确设响通赵32"、"MSDHG32"、"MSDQG32"键值。
将[HKE通展企台情联渐Y_LOCAL_MA未指费几进CHINE/Software/Micros严孔概亮几oft/Windows NT肥先今源正著/CurrentVersion/Windows身端] 下的"AppI并海练晶备坚nit_DLLs"里的内容清空。
删除[HKEY_LOCAL_MACHINE/SOFTWARE药般调石架外成完/Microsoft/Windows/CurrentVersion/Explorer/Shell/E李自示xecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
获被八队火裂移触想固某aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll
3.进入安全模式,强制删除以下文件,可利用工具XDelBox
C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll
C:/Windows/system32/kawdbzy.dll
C:/Windows/system32/rsztcpm.dll
C:/Windows/system32/rsmydpm.dll
C:/Windows/igw.exe
C:/Windows/igm.exe
C:/Windows/system32/sedrsvedt.exe
C:/Windows/igm.exe
C:/Windows/system32/sjzbpm.dll
C:/Windows/system32/acvsvc.exe
C:/Windows/system32/driverssvchost.exe
C:/Windows/cmdbcs.exe
C:/Windows/dbghlp32.exe
C:/Windows/vdispdrv.exe
C:/Windows/upxdnd.exe
C:/Windows/system32/cmdbcs.dll
C:/Windows/system32/dbghlp32.dll
C:/Windows/system32/upxdnd.dll
C:/Windows/system32/yfmtdiouaf.dll
4.搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5.运行services.msc,禁止服务"4f506c9e"
6.另外查看hosts文件,检查是否病毒网站IP被强制关联了
问题描述
出现提示缺少exe文件问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件,出现错误提示框,或程序无法运行,解决此问题只需找到专业的exe文件下载网站,下载该文件后,找到适合程序的文件版本,复制到相应目录。即可解决。
1、Windows 95/98/Me系统,则复制到C:\WINdows\system32\ 目录下。
2、Windows NT/2000系统,则复制到C:\WINNT\system32\ 目录下。
3、Windows XP系统,则复制到C:\WINdows\system32\ 目录下。
4、Windows 7/8系统,则复制到C:\WINdows\system32\目录下。
- 上一篇: vista120主机
- 下一篇: 上海自动化仪表四厂