userinit是什麼進程?userinit.exe異常解決方法步驟

Userinit.exe是Windows作業系統一個關鍵進程。用於管理不同的啟動順序，例如在建立網絡連結和Windows殼的啟動。

詳細介紹

系統剛啟動時,如果你調出任務管理器就會看到userinit.exe ,但過一段時間,系統各項加載完畢後,userinit.exe就會自動消失的

最近電腦突然卡，發現殺毒軟體老是報告userinit.exe被修改

如果打開C:\WINDOWS\system32文件夾(如果您的系統不在c盤安裝，請找到對應的目錄)，找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，點擊右鍵查看屬性，如果在屬性窗口中看不到文件的版本標籤的話，說明已經中了機器狗。[1]

病毒創建userinit.exe，放入到%systemroot%system32目錄下。然後，userinit.exe開始接手工作。userinit.exe進程結束。

userinit.exe上臺後，開始創建svchost.exe進程。任務完成後，userinit.exe進程自動結束

svchost.exe就是主角登場了，它開始在本地埠4444號上監控，同時瘋狂下載諸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估計還會下載其它N多病毒。

通過以上三個動作，病毒已完成取得了系統指揮大權的全部過程。當病毒幹完它想幹的事情後，一切進程都稍無聲息的消失不見。於是乎，你不小心的話，根本就不會認為你的系統已被成功入侵了。真是天衣無縫呀!!前面兩個進程，在進程列表裡，停留的時間極短，幾乎是一閃而過。而後面主角svchost.exe，我想你怎麼也不會懷疑到它頭上。系統服務的核心進程，大部分都是用它啟動.

另外，最新的機器狗病毒，arp防火牆監控不到!!

穿破還原後，連接IP為xxx.xxx.xxx.xxx這個IP下載更厲害的變種病毒，破壞GHOST文件，自動打開SERVER服務，局域內迅速傳播!

如果已經被這個病毒迫害了系統，不能登陸，查看：

機器狗及其變種造成userinit.exe異常的解決方案

解決方法

電腦系統文件經常會受到病毒的侵擾，導致系統文件丟失、損壞。從網上下載系統文件進行替換，可能會因為系統文件版本與作業系統不相符造成不兼容的情況;建議使用專業的系統文件修復工具進行修復。

1、下載可牛殺毒系統急救箱。

2、點擊「開始急救」，進行一鍵式修復，智能匹配與作業系統相符的系統文件。

3、使用可牛免費殺毒對電腦進行全面掃描，清除電腦中存在的潛在危險。

以下分二部分，一部分是批處理，一部分是註冊表!請確保c:\windows\system32\userinit.exe是無毒文件

@echo off

md%systemroot%\system32\1

md %systemroot%\system32\1\2

copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f

echo y|cacls c:\windows\system32\1 /p everyone:n

md

cacls % /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe >nul 2>nul

md c:\WINDOWS\DiskMan32.exe >nul 2>nul

md c:\WINDOWS\IGM.exe>nul 2>nul

md c:\WINDOWS\Kvsc3.exe>nul 2>nul

md c:\WINDOWS\lqvytv.exe >nul 2>nul

md c:\WINDOWS\MsIMMs32.exe >nul 2>nul

md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul

md.exe >nul 2>nul

md c:\WINDOWS\system32\a.exe >nul 2>nul

md c:\WINDOWS\upxdnd.exe>nul 2>nul

md c:\WINDOWS\WinForm.exe >nul 2>nul

md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul

md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul

md c:\WINDOWS\cmdbcs.exe>nul 2>nul

md c:\WINDOWS\dbghlp32.exe >nul 2>nul

md c:\WINDOWS\nvdispdrv.exe>nul 2>nul

md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul

md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul

md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul

md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul

echo y|cacls.exec:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe .exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\IGM.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\Kvsc3.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\upxdnd.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\cmdbcs.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\nvdispdrv.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是註冊表部分!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

另存為*.reg

運行以上兩個文件,立即搞定.

第一步:複製一份沒有中毒的userinit.exe到SYSTEM32目錄,

第二步:把複製的userinit.exe改名為其他的文件名比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit鍵值:C:\WINDOWS\system32\userinit.exe,

為:C:\WINDOWS\system32\mylogin.exe,

注意鍵值後面有個英文逗號

第四步:為userinit.exe免疫:意思就是建立一個userinit.exe目錄.去掉所有權限

手動​解決辦法

建議按照以下的順序殺毒，以防病毒捲土重來

1.用系統文件userinit.exe來替換被病毒修改的userinit.exe文件，路徑c:windows/system32/userinit.exe (以系統盤為C盤為例)在病毒未殺乾淨前，禁止IGM.exe、IGW.exe的運行。在dos窗口輸入：

r Options/IGM.EXE」 /v debugger /t reg_sz /d debugfile.exe /f

Options/IGW.EXE」 /v debugger /t reg_sz /d debugfile.exe /f

說明：利用了映象劫持(本次專題知識點，縮寫為IFEO)技術，禁止了IGW.exe和IGM.exe的運行。

2.進入安全模式，刪除註冊表鍵值

刪除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的「WinSysM」、「WinSys」鍵值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的

「MSDEG32」、「MSDWG32」、「MSDCG32」、「MSDOG32」、「MSDSG32」、「MSDMG32」、「MSDHG32」、「MSDQG32」鍵值。

將[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的「AppInit_DLLs」裡的內容清空。

刪除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的

smydpm.dll

m32 sztcpm.dll

m32 C:/windows/system32kawdbzy.dll

arjbpi.dll

m32 C:/windows/system32avzxdmn.dll

aqjbpi.dll

m32 C:/windows/system32/avwgcmn.dll

C:/windows/system32/kapjbzy.dll

C:/windows/system32/kaqhezy.dll

C:/windows/system32/avwlbmn.dll

atbfpi.dll

m32 C:/windows/system32/kvdxcma.dll

sjzbpm.dll

m32 C/:windows/system32/kafyezy.dll

3.進入安全模式，強制刪除以下文件，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll

C:/Windows/system32/rsjzbpm.dll

C:/Windows/system32/kvdxcma.dll

C:/Windows/system32/ratbfpi.dll

C:/Windows/system32/avwlbmn.dll

C:/Windows/system32/kaqhezy.dll

C:/Windows/system32/kapjbzy.dll

C:/Windows/system32/avwgcmn.dll

C:/Windows/system32/raqjbpi.dll

C:/Windows/system32/avzxdmn.dll

C:/Windows/system32/rarjbpi.dll

C:/Windows/system32/kawdbzy.dll

C:/Windows/system32/rsztcpm.dll

C:/Windows/system32/rsmydpm.dll

C:/Windows/igw.exe

C:/Windows/igm.exe

C:/Windows/system32/sedrsvedt.exe

C:/Windows/igm.exe

C:/Windows/system32/sjzbpm.dll

C:/Windows/system32/acvsvc.exe

C:/Windows/system32/driverssvchost.exe

C:/Windows/cmdbcs.exe

C:/Windows/dbghlp32.exe

C:/Windows/vdispdrv.exe

C:/Windows/upxdnd.exe

C:/Windows/system32/cmdbcs.dll

C:/Windows/system32/dbghlp32.dll

C:/Windows/system32/upxdnd.dll

C:/Windows/system32/yfmtdiouaf.dll

4.搜索所有的磁碟根目錄，刪除隱藏文件auto.exe和autorun.inf

5.運行services.msc，禁止服務「4f506c9e」

6.另外查看hosts文件，檢查是否病毒網站IP被強制關聯了

問題描述

出現提示缺少exe文件問題的大部分原因是因該文件被木馬病毒破壞導致系統程序找不到此文件，出現錯誤提示框，或程序無法運行，解決此問題只需找到專業的exe文件下載網站，下載該文件後，找到適合程序的文件版本，複製到相應目錄。即可解決。

1、Windows 95/98/Me系統，則複製到C:\WINdows\system32\ 目錄下。

2、Windows NT/2000系統，則複製到C:\WINNT\system32\ 目錄下。

3、Windows XP系統，則複製到C:\WINdows\system32\ 目錄下。

4、Windows 7/8系統，則複製到C:\WINdows\system32\目錄下。

責任編輯：kj005

文章投訴熱線:156 0057 2229 投訴郵箱:29132 36@qq.com