- ·上一篇文章:war3.exe下载、war3.exe相关问题解答
- ·下一篇文章:instmsiw.exe是什么进程、instmsiw.exe常见问题
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的
最近电脑突然卡,发现杀毒软件老是报告userinit.exe被修改
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
病毒创建userinit.exe,放入到%systemroot%system32目录下。然后,userinit.exe开始接手工作。userinit.exe进程结束。
userinit.exe上台后,开始创建svchost.exe进程。任务完成后,userinit.exe进程自动结束
svchost.exe就是主角登场了,它开始在本地端口4444号上监控,同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想,估计还会下载其它N多病毒。
通过以上三个动作,病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后,一切进程都稍无声息的消失不见。于是乎,你不小心的话,根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀!!前面两个进程,在进程列表里,停留的时间极短,几乎是一闪而过。而后面主角svchost.exe,我想你怎么也不会怀疑到它头上。系统服务的核心进程,大部分都是用它启动.
另外,最新的机器狗病毒,arp防火墙监控不到!!
穿破还原后,连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒,破坏GHOST文件,自动打开SERVER服务,局域内迅速传播!
userinit.exe病毒手动解决办法
建议按照以下的顺序杀毒,以防病毒卷土重来
1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windows/system32/userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。
2.进入安全模式,删除注册表键值
删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。
将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。
删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll
3.进入安全模式,强制删除以下文件,可利用工具XDelBox
C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll
C:/Windows/system32/kawdbzy.dll
C:/Windows/system32/rsztcpm.dll
C:/Windows/system32/rsmydpm.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/igw.exe
C:/Windows/igm.exe
C:/Windows/system32/sedrsvedt.exe
C:/Windows/igm.exe
C:/Windows/system32/sjzbpm.dll
C:/Windows/system32/acvsvc.exe
C:/Windows/system32/driverssvchost.exe
C:/Windows/cmdbcs.exe
C:/Windows/dbghlp32.exe
C:/Windows/vdispdrv.exe
C:/Windows/upxdnd.exe
C:/Windows/system32/cmdbcs.dll
C:/Windows/system32/dbghlp32.dll
C:/Windows/system32/upxdnd.dll
C:/Windows/system32/yfmtdiouaf.dll
4.搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5.运行services.msc,禁止服务“4f506c9e”
6.另外查看hosts文件,检查是否病毒网站IP被强制关联了