userinit.exe

Userinit.exe是Windows作业系统一个关键进程。用于管理不同的启动顺序，例如在建立网路连结和Windows壳的启动。

基本介绍

中文名：userinit.exe
进程档案： userinit 或者 userinit.exe
进程名称：UserInit Process
出品者：Microsoft Corp.

档案描述

基本信息

属于： Windows

系统进程：是

后台程式：是

使用网路：否

硬体相关：否

常见错误：未知N/A

记忆体使用：未知N/A

安全等级 (0-5): 0

间谍软体：否

Adware: 否

病毒：否

木马：否

详细介绍

系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项载入完毕后,userinit.exe就会自动消失的

最近电脑突然卡，发现防毒软体老是报告userinit.exe被修改

如果打开C:\WINDOWS\system32资料夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe档案，点击右键查看属性，如果在属性视窗中看不到档案的版本标籤的话，说明已经中了机器狗。

病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。

userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束

svchost.exe就是主角登场了，它开始在本地连线埠4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。

通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎幺也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.

另外，最新的机器狗病毒，arp防火墙监控不到!!

穿破还原后，连线IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST档案，自动打开SERVER服务，局域内迅速传播！

如果已经被这个病毒迫害了系统，不能登入，查看：

机器狗及其变种造成userinit.exe异常的解决方案

解决方法

电脑系统档案经常会受到病毒的侵扰，导致系统档案丢失、损坏。从网上下载系统档案进行替换，可能会因为系统档案版本与作业系统不相符造成不兼容的情况；建议使用专业的系统档案修复工具进行修复。

1、下载可牛防毒系统急救箱。

2、点击“开始急救”，进行一键式修复，智慧型匹配与作业系统相符的系统档案。

3、使用可牛免费防毒对电脑进行全面扫描，清除电脑中存在的潜在危险。

以下分二部分，一部分是批处理，一部分是注册表！请确保c:\windows\system32\userinit.exe是无毒档案

@echo off

md %systemroot%\system32\1

md %systemroot%\system32\1\2

copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f

echo y|cacls c:\windows\system32\1 /p everyone:n

cacls % /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe >nul 2>nul

md c:\WINDOWS\DiskMan32.exe >nul 2>nul

md c:\WINDOWS\IGM.exe >nul 2>nul

md c:\WINDOWS\Kvsc3.exe >nul 2>nul

md c:\WINDOWS\lqvytv.exe >nul 2>nul

md c:\WINDOWS\MsIMMs32.exe >nul 2>nul

md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul

md.exe >nul 2>nul

md c:\WINDOWS\system32\a.exe >nul 2>nul

md c:\WINDOWS\upxdnd.exe >nul 2>nul

md c:\WINDOWS\WinForm.exe >nul 2>nul

md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul

md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul

md c:\WINDOWS\cmdbcs.exe >nul 2>nul

md c:\WINDOWS\dbghlp32.exe >nul 2>nul

md c:\WINDOWS\nvdispdrv.exe >nul 2>nul

md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul

md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul

md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul

md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul

echo y|cacls.exec:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe .exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是注册表部分！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]

"TypesSupported"=dword:00000007

另外储存为*.reg

运行以上两个档案,立即搞定.

第一步:複製一份没有中毒的userinit.exe到SYSTEM32目录,

第二步:把複製的userinit.exe改名为其他的档案名称比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,

为:C:\WINDOWS\system32\mylogin.exe,

注意键值后面有个英文逗号

第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有许可权

手动解决办法

建议按照以下的顺序防毒，以防病毒捲土重来

1.用系统档案userinit.exe来替换被病毒修改的userinit.exe档案，路径c:windows/system32/userinit.exe （以系统盘为C糟为例）在病毒未杀乾净前，禁止IGM.exe、IGW.exe的运行。在dos视窗输入：

r Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f

Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f

说明：利用了映象劫持（本次专题知识点，缩写为IFEO）技术，禁止了IGW.exe和IGM.exe的运行。

2.进入安全模式，删除注册表键值

删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的

“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。

将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。

删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的

smydpm.dll

m32 sztcpm.dll

m32 C:/windows/system32kawdbzy.dll

arjbpi.dll

m32 C:/windows/system32avzxdmn.dll

aqjbpi.dll

m32 C:/windows/system32/avwgcmn.dll

C:/windows/system32/kapjbzy.dll

C:/windows/system32/kaqhezy.dll

C:/windows/system32/avwlbmn.dll

atbfpi.dll

m32 C:/windows/system32/kvdxcma.dll

sjzbpm.dll

m32 C/:windows/system32/kafyezy.dll

3.进入安全模式，强制删除以下档案，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll

C:/Windows/system32/rsjzbpm.dll

C:/Windows/system32/kvdxcma.dll

C:/Windows/system32/ratbfpi.dll

C:/Windows/system32/avwlbmn.dll

C:/Windows/system32/kaqhezy.dll

C:/Windows/system32/kapjbzy.dll

C:/Windows/system32/avwgcmn.dll

C:/Windows/system32/raqjbpi.dll

C:/Windows/system32/avzxdmn.dll

C:/Windows/system32/rarjbpi.dll

C:/Windows/system32/kawdbzy.dll

C:/Windows/system32/rsztcpm.dll

C:/Windows/system32/rsmydpm.dll

C:/Windows/igw.exe

C:/Windows/igm.exe

C:/Windows/system32/sedrsvedt.exe

C:/Windows/igm.exe

C:/Windows/system32/sjzbpm.dll

C:/Windows/system32/acvsvc.exe

C:/Windows/system32/driverssvchost.exe

C:/Windows/cmdbcs.exe

C:/Windows/dbghlp32.exe

C:/Windows/vdispdrv.exe

C:/Windows/upxdnd.exe

C:/Windows/system32/cmdbcs.dll

C:/Windows/system32/dbghlp32.dll

C:/Windows/system32/upxdnd.dll

C:/Windows/system32/yfmtdiouaf.dll

4.搜寻所有的磁碟根目录，删除隐藏档案auto.exe和autorun.inf

5.运行services.msc，禁止服务“4f506c9e”

6.另外查看hosts档案，检查是否病毒网站IP被强制关联了

问题描述

出现提示缺少exe档案问题的大部分原因是因该档案被木马病毒破坏导致系统程式找不到此档案，出现错误提示框，或程式无法运行，解决此问题只需找到专业的exe档案下载网站，下载该档案后，找到适合程式的档案版本，複製到相应目录。即可解决。

1、Windows 95/98/Me系统，则複製到C:\WINdows\system32\ 目录下。

2、Windows NT/2000系统，则複製到C:\WINNT\system32\ 目录下。

3、Windows XP系统，则複製到C:\WINdows\system32\ 目录下。

4、Windows 7/8系统，则複製到C:\WINdows\system32\目录下。

点击展开全文