userinit.exe

进程文件： userinit 或者 userinit.exe

进程名称： UserInit Process

描述：

Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。

出品者： Microsoft Corp.

属于： Windows

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的

最近电脑突然卡，发现杀毒软件老是报告userinit.exe被修改

如果打开C:WINDOWSsystem32文件夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。

病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。

userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束

svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。

通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.

另外，最新的机器狗病毒，arp防火墙监控不到!!

穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！

如果已经被这个病毒迫害了系统，不能登陆，查看：

机器狗及其变种造成userinit.exe异常的解决方案

http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html

解决方法：

Userinit.exe修复工具

http://bbs.antidu.cn/thread-3602-1-1.html

机器狗病毒Userinit.exe免疫程序

http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html

Zonga告诉大家解决方法：

利用注册表法::(转载请注明来自本空间http://hi.baidu.com/nuanruohan)

以下分二部分，一部分是批处理，一部分是注册表！请确保c:windowssystem32userinit.exe是无毒文件

@echo off

md %systemroot%system321

md %systemroot%system3212

copy /y c:windowssystem32userinit.exe c:windowssystem3212

echo y|cacls c:windowssystem3212 /p everyone:f

echo y|cacls c:windowssystem321 /p everyone:n

md %systemroot%system32driverspcihdd.sys

cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n

echo y|cacls c:windowssystem32userinit.exe /p everyone:n

md c:WINDOWSAVPSrv.exe >nul 2>nul

md c:WINDOWSDiskMan32.exe >nul 2>nul

md c:WINDOWSIGM.exe >nul 2>nul

md c:WINDOWSKvsc3.exe >nul 2>nul

md c:WINDOWSlqvytv.exe >nul 2>nul

md c:WINDOWSMsIMMs32.exe >nul 2>nul

md c:WINDOWSsystem323CEBCAF.EXE >nul 2>nul

md %windir%system32driverssvchost.exe >nul 2>nul

md c:WINDOWSsystem32a.exe >nul 2>nul

md c:WINDOWSupxdnd.exe >nul 2>nul

md c:WINDOWSWinForm.exe >nul 2>nul

md c:WINDOWSsystem32

sjzbpm.dll >nul 2>nul

md c:WINDOWSsystem32

acvsvc.exe >nul 2>nul

md c:WINDOWScmdbcs.exe >nul 2>nul

md c:WINDOWSdbghlp32.exe >nul 2>nul

md c:WINDOWS

vdispdrv.exe >nul 2>nul

md c:WINDOWSsystem32cmdbcs.dll >nul 2>nul

md c:WINDOWSsystem32dbghlp32.dll >nul 2>nul

md c:WINDOWSsystem32upxdnd.dll >nul 2>nul

md c:WINDOWSsystem32yfmtdiouaf.dll >nul 2>nul

echo y|cacls.exe c:WINDOWSAVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe %windir%system32driverssvchost.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSDiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSIGM.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSKvsc3.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSlqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSMsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem323CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSupxdnd.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSWinForm.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32

sjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32

acvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWScmdbcs.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSdbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWS

vdispdrv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe c:WINDOWSsystem32yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是注册表部分！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

"Userinit"="C:\WINDOWS\system32\1\2\userinit.exe,"

[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogApplicationUserinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesEventlogApplicationUserinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

另存为*.reg

运行以上两个文件,立即搞定.

3.防userinit.exe修改方法:(转载请注明来自本空间http://hi.baidu.com/nuanruohan)

第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,

第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的Userinit键值:C:WINDOWSsystem32userinit.exe,

为:C:WINDOWSsystem32mylogin.exe,

注意键值后面有个英文逗号

第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限

userinit.exe病毒手动解决办法建议按照以下的顺序杀毒，以防病毒卷土重来

1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件，路径c:windowssystem32userinit.exe （以系统盘为C盘为例）在病毒未杀干净前，禁止IGM.exe、IGW.exe的运行。在dos窗口输入：

reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f

reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f

说明：利用了映象劫持（本次专题知识点，缩写为IFEO）技术，禁止了IGW.exe和IGM.exe的运行。

2.进入安全模式，删除注册表键值

删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的

“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。

将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。

删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的

smydpm.dll

m32 sztcpm.dll

m32 C:/windows/system32kawdbzy.dll

arjbpi.dll

m32 C:/windows/system32avzxdmn.dll

aqjbpi.dll

m32 C:/windows/system32/avwgcmn.dll

C:/windows/system32/sidjazy.dll

C:/windows/system32/kapjbzy.dll

C:/windows/system32/kaqhezy.dll

C:/windows/system32/avwlbmn.dll

atbfpi.dll

m32 C:/windows/system32/kvdxcma.dll

sjzbpm.dll

m32 C/:windows/system32/kafyezy.dll

3.进入安全模式，强制删除以下文件，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll

C:/Windows/system32/rsjzbpm.dll

C:/Windows/system32/kvdxcma.dll

C:/Windows/system32/ratbfpi.dll

C:/Windows/system32/avwlbmn.dll

C:/Windows/system32/kaqhezy.dll

C:/Windows/system32/kapjbzy.dll

C:/Windows/system32/sidjazy.dll

C:/Windows/system32/avwgcmn.dll

C:/Windows/system32/raqjbpi.dll

C:/Windows/system32/avzxdmn.dll

C:/Windows/system32/rarjbpi.dll

C:/Windows/system32/kawdbzy.dll

C:/Windows/system32/rsztcpm.dll

C:/Windows/system32/rsmydpm.dll

C:/Windows/system32/sidjazy.dll

C:/Windows/igw.exe

C:/Windows/igm.exe

C:/Windows/system32/sedrsvedt.exe

C:/Windows/igm.exe

C:/Windows/system32/sjzbpm.dll

C:/Windows/system32/acvsvc.exe

C:/Windows/system32/driverssvchost.exe

C:/Windows/cmdbcs.exe

C:/Windows/dbghlp32.exe

C:/Windows/vdispdrv.exe

C:/Windows/upxdnd.exe

C:/Windows/system32/cmdbcs.dll

C:/Windows/system32/dbghlp32.dll

C:/Windows/system32/upxdnd.dll

C:/Windows/system32/yfmtdiouaf.dll

4.搜索所有的磁盘根目录，删除隐藏文件auto.exe和autorun.inf

5.运行services.msc，禁止服务“4f506c9e”

6.另外查看hosts文件，检查是否病毒网站IP被强制关联了[1]

• ·tcpsvcs.exe
• ·tlntsvr.exe
• ·Patch
• ·短剑
• ·火凤燎原
• ·超级电容车
• ·弹头捕阱
• ·winlogon.exe
• ·张学良
• ·大规模报复战略