userinit.exe是什么進(jìn)程? 如何清除該病毒

Userinit.exe是Windows操作系統(tǒng)一個(gè)關(guān)鍵進(jìn)程。用于管理不同的啟動(dòng)順序，例如在建立網(wǎng)絡(luò)鏈接和Windows殼的啟動(dòng)。

系統(tǒng)剛啟動(dòng)時(shí),如果你調(diào)出任務(wù)管理器就會(huì)看到userinit.exe ,但過(guò)一段時(shí)間,系統(tǒng)各項(xiàng)加載完畢后,userinit.exe就會(huì)自動(dòng)消失的
最近電腦突然卡，發(fā)現(xiàn)殺毒軟件老是報(bào)告userinit.exe被修改
如果打開(kāi)C:\WINDOWS\system32文件夾（如果您的系統(tǒng)不在c盤(pán)安裝，請(qǐng)找到對(duì)應(yīng)的目錄），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，點(diǎn)擊右鍵查看屬性，如果在屬性窗口中看不到文件的版本標(biāo)簽的話，說(shuō)明已經(jīng)中了機(jī)器狗。
病毒創(chuàng)建userinit.exe，放入到%systemroot%system32目錄下。然后，userinit.exe開(kāi)始接手工作。userinit.exe進(jìn)程結(jié)束。
userinit.exe上臺(tái)后，開(kāi)始創(chuàng)建svchost.exe進(jìn)程。任務(wù)完成后，userinit.exe進(jìn)程自動(dòng)結(jié)束
svchost.exe就是主角登場(chǎng)了，它開(kāi)始在本地端口4444號(hào)上監(jiān)控，同時(shí)瘋狂下載諸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估計(jì)還會(huì)下載其它N多病毒。
通過(guò)以上三個(gè)動(dòng)作，病毒已完成取得了系統(tǒng)指揮大權(quán)的全部過(guò)程。當(dāng)病毒干完它想干的事情后，一切進(jìn)程都稍無(wú)聲息的消失不見(jiàn)。于是乎，你不小心的話，根本就不會(huì)認(rèn)為你的系統(tǒng)已被成功入侵了。真是天衣無(wú)縫呀！！前面兩個(gè)進(jìn)程，在進(jìn)程列表里，停留的時(shí)間極短，幾乎是一閃而過(guò)。而后面主角svchost.exe，我想你怎么也不會(huì)懷疑到它頭上。系統(tǒng)服務(wù)的核心進(jìn)程，大部分都是用它啟動(dòng).
另外，最新的機(jī)器狗病毒，arp防火墻監(jiān)控不到!!
穿破還原后，連接IP為xxx.xxx.xxx.xxx這個(gè)IP下載更厲害的變種病毒，破壞GHOST文件，自動(dòng)打開(kāi)SERVER服務(wù)，局域內(nèi)迅速傳播！

userinit.exe病毒手動(dòng)解決辦法

建議按照以下的順序殺毒，以防病毒卷土重來(lái)

1.用系統(tǒng)文件userinit.exe來(lái)替換被病毒修改的userinit.exe文件，路徑c:windows/system32/userinit.exe （以系統(tǒng)盤(pán)為C盤(pán)為例）在病毒未殺干凈前，禁止IGM.exe、IGW.exe的運(yùn)行。在dos窗口輸入：

reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f
說(shuō)明：利用了映象劫持（本次專(zhuān)題知識(shí)點(diǎn)，縮寫(xiě)為IFEO）技術(shù)，禁止了IGW.exe和IGM.exe的運(yùn)行。

2.進(jìn)入安全模式，刪除注冊(cè)表鍵值

刪除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”鍵值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”鍵值。
將[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的內(nèi)容清空。
刪除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll

3.進(jìn)入安全模式，強(qiáng)制刪除以下文件，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll

12下一頁(yè)>