userinituserinit.exe异常最好解决方法

userinit.exe 有病毒怎么办

userinit.exe 进程文件： userinit 或者 userinit.exe 进程名称： UserInit Process 描述： Userinit.exe是Windows操作系统一个关键进程。

用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。

出品者： Microsoft Corp. 属于： Windows 系统进程： 是 后台程序： 是 使用网络： 否 硬件相关： 否 常见错误： 未知N/A 内存使用： 未知N/A 安全等级 (0-5): 0 间谍软件： 否 Adware: 否 病毒： 否 木马： 否 系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的 最近电脑突然卡，发现杀毒软件老是报告userinit.exe被修改 如果打开C:WINDOWSsystem32文件夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。

病毒创建userinit.exe，放入到%systemroot%system32目录下。

然后，userinit.exe开始接手工作。

userinit.exe进程结束。

userinit.exe上台后，开始创建svchost.exe进程。

任务完成后，userinit.exe进程自动结束 svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。

如果它想，估计还会下载其它N多病毒。

通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。

当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。

于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。

真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。

而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。

系统服务的核心进程，大部分都是用它启动. 另外，最新的机器狗病毒，arp防火墙监控不到!! 穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！ 如果已经被这个病毒迫害了系统，不能登陆，查看： 机器狗及其变种造成userinit.exe异常的解决方案 /html/3/2008/1/antidu_200814163642.html 解决方法： Userinit.exe修复工具 /thread-3602-1-1.html 机器狗病毒Userinit.exe免疫程序 /html/8/2007/11/antidu_20071130203704.html Zonga告诉大家解决方法： 利用注册表法::(转载请注明来自本空间/nuanruohan) 以下分二部分，一部分是批处理，一部分是注册表！请确保c:windowssystem32userinit.exe是无毒文件 @echo off md %systemroot%system321 md %systemroot%system3212 copy /y c:windowssystem32userinit.exe c:windowssystem3212 echo y|cacls c:windowssystem3212 /p everyone:f echo y|cacls c:windowssystem321 /p everyone:n md %systemroot%system32driverspcihdd.sys cacls %systemroot%system32driverspcihdd.sys /e /p everyone:n echo y|cacls c:windowssystem32userinit.exe /p everyone:n md c:WINDOWSAVPSrv.exe >nul 2>nul md c:WINDOWSDiskMan32.exe >nul 2>nul md c:WINDOWSIGM.exe >nul 2>nul md c:WINDOWSKvsc3.exe >nul 2>nul md c:WINDOWS.exe >nul 2>nul md c:WINDOWSMsIMMs32.exe >nul 2>nul md c:WINDOWSsystem323CEBCAF.EXE >nul 2>nul md %windir%system32driverssvchost.exe >nul 2>nul md c:WINDOWSsystem32a.exe >nul 2>nul md c:WINDOWSupxdnd.exe >nul 2>nul md c:WINDOWSWinForm.exe >nul 2>nul md c:WINDOWSsystem32 sjzbpm.dll >nul 2>nul md c:WINDOWSsystem32 acvsvc.exe >nul 2>nul md c:WINDOWScmdbcs.exe >nul 2>nul md c:WINDOWSdbghlp32.exe >nul 2>nul md c:WINDOWS vdispdrv.exe >nul 2>nul md c:WINDOWSsystem32cmdbcs.dll >nul 2>nul md c:WINDOWSsystem32dbghlp32.dll >nul 2>nul md c:WINDOWSsystem32upxdnd.dll >nul 2>nul md c:WINDOWSsystem32yfmtdiouaf.dll >nul 2>nul echo y|cacls.exe c:WINDOWSAVPSrv.exe /d everyone >nul 1>nul echo y|cacls.exe %windir%system32driverssvchost.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSDiskMan32.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSIGM.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSKvsc3.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWS.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSMsIMMs32.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem323CEBCAF.EXE /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32a.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSupxdnd.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSWinForm.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32 sjzbpm.dll /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32 acvsvc.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWScmdbcs.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSdbghlp32.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWS vdispdrv.exe /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32cmdbcs.dll /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32dbghlp32.dll /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32upxdnd.dll /d everyone >nul 1>nul echo y|cacls.exe c:WINDOWSsystem32yfmtdiouaf.dll /d everyone >nul 1>nul echo reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f echo gpupdate exit 下面是注册表部分！ Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "Userinit"="C:\WINDOWS\system32\1\2\userinit.exe," [HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogApplicationUserinit] "EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00 "TypesSupported"=dword:00000007 [HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesEventlogApplicationUserinit] "EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00 "TypesSupported"=dword:00000007 另存为*.reg 运行以上两个文件,立即搞定. 3.防userinit.exe修改方法:(转载请注明来自本空间/nuanruohan) 第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录, 第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe 第三步:修改[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]下的Userinit键值:C:WINDOWSsystem32userinit.exe, 为:C:WINDOWSsystem32mylogin.exe, 注意键值后面有个英文逗号 第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限 [编辑本段]userinit.exe病毒手动解决办法 建议按照以下的顺序杀毒，以防病毒卷土重来 1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件，路径c:windowssystem32userinit.exe （以系统盘为C盘为例）在病毒未杀干净前，禁止IGM.exe、IGW.exe的运行。

在dos窗口输入： reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f 说明：利用了映象劫持（本次专题知识点，缩写为IFEO）技术，禁止了IGW.exe和IGM.exe的运行。

2.进入安全模式，删除注册表键值 删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的 “MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。

将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。

删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的 smydpm.dll m32 sztcpm.dll m32 C:/windows/system32kawdbzy.dll arjbpi.dll m32 C:/windows/system32avzxdmn.dll aqjbpi.dll m32 C:/windows/system32/avwgcmn.dll C:/windows/system32/sidjazy.dll C:/windows/system32/kapjbzy.dll C:/windows/system32/kaqhezy.dll C:/windows/system32/avwlbmn.dll atbfpi.dll m32 C:/windows/system32/kvdxcma.dll sjzbpm.dll m32 C/:windows/system32/kafyezy.dll 3.进入安全模式，强制删除以下文件，可利用工具XDelBox C:/Windows/system32/kvdxsbma.dll C:/Windows/system32/rsjzbpm.dll C:/Windows/system32/kvdxcma.dll C:/Windows/system32/ratbfpi.dll C:/Windows/system32/avwlbmn.dll C:/Windows/system32/kaqhezy.dll C:/Windows/system32/kapjbzy.dll C:/Windows/system32/sidjazy.dll C:/Windows/system32/avwgcmn.dll C:/Windows/system32/raqjbpi.dll C:/Windows/system32/avzxdmn.dll C:/Windows/system32/rarjbpi.dll C:/Windows/system32/kawdbzy.dll C:/Windows/system32/rsztcpm.dll C:/Windows/system32/rsmydpm.dll C:/Windows/system32/sidjazy.dll C:/Windows/igw.exe C:/Windows/igm.exe C:/Windows/system32/sedrsvedt.exe C:/Windows/igm.exe C:/Windows/system32/sjzbpm.dll C:/Windows/system32/acvsvc.exe C:/Windows/system32/driverssvchost.exe C:/Windows/cmdbcs.exe C:/Windows/dbghlp32.exe C:/Windows/vdispdrv.exe C:/Windows/upxdnd.exe C:/Windows/system32/cmdbcs.dll C:/Windows/system32/dbghlp32.dll C:/Windows/system32/upxdnd.dll C:/Windows/system32/yfmtdiouaf.dll 4.搜索所有的磁盘根目录，删除隐藏文件auto.exe和autorun.inf 5.运行services.msc，禁止服务“4f506c9e” 6.另外查看hosts文件，检查是否病毒网站IP被强制关联了

userinit.exe—损坏文件

没什么事。

。

你只需要在运行里面输入CMD 回车 然后在里面输入： chkdsk/f c: 再回车就可以了。

会提示你“因为另一个过程正在使用这个卷，无法运行 Chkdsk。

是否计划在下次系统重新启动时检查这个卷? (Y/N)” 你输入Y 回车，下次启动系统的时候会自动检查，并更正损坏的文件。

userinit.exe

进winPE或DOS下删除替换.userinit.exe在正常的系统下是可以删除的,因为系统登陆后这个文件就不被使用了,但因为中了毒,这个文件还在被病毒使用,所以你删不了,呵! 简单说下吧,你把好的文件放到D盘,从网上下载一个矮DOS工具箱,(网上好多,随便都能下到),装好后,重起电脑(安装时有等待时间设置,你设置五到十秒就行了),在选择菜单时用键盘的方向键选择DOS工具箱,而不是windows XP,这个你应该能看懂吧. 进入DOS工具箱后,选第一个,进入DOS,在DOS命令行里输入C:回车,再输入以下命令: cd windows 回车 cd system32 回车 del userinit.exe 回车 这时那个文件已经删了,你再输入 copy D:userinit.exe c:windowssystem32 回车后文件就复制好了.因为刚才已经让你把文件放到D盘根目录了.

怎样解决异常的Userinit

C:。

C::41:53 启动类型: 注册表，并建立一个资料索引以加快下一次启动的时间。

而当运行的程序重名时:WINDOWSPrefetch，Windows XP会自动记录下启动时运行的每一个程序;PrefetchWUAUCLT.EXE-399A8E72? Windows? 操作系统 描述;10/4 13.pf 都不是病毒 Prefetch文件夹是Windows XP自动创建的，主要用于加快系统启动的速度。

正常运行的情况下: Microsoft Windows Verification PCA 文件类型: 应用程序 文件路径;windowsUSERINIT.EXE-30B18140.pf 和C: 是 ===================================================== wuauclt.exe是windows 的自动更新进程 不是病毒: Userinit 登录应用程序 发行者: Microsoft Corporation 数字签名方;winlogonuserinit 分类: 允许的 与操作系统一起提供.exe 文件大小: 24576 文件版本: 6;Windows NTCurrentVersionMicrosoftWindows: SOFTWARE.061003-1945) 安装日期: 本地计算机 位置;system32userinit: 2006/.5744.16384 (vista_rtm_edw.0，木有事情，不用管他 文件名: userinit.exe 显示名: Microsoft说简单点，该功能可以提高系统的性能，加快系统的启动、文件读取的速度，这些预读文件保存在％systemroot％Prefetch目录中，以*，还是建议对其进行定期删除。

在Windows XP及其以后的操作系统中，增加了预读取功能(也可以理解为“预先装载”)，系统会自动在程序名的后面添加一个“后缀”，随着使用时间的变长，Prefetch文件夹内会堆放许多垃圾，反而会拖慢系统，所以如果你有精力的话

userinit.exe异常最好解决方法

首先关闭windows系统文件还原功能（鼠标右键点击我的电脑属性-系统还原-全部关闭-确定）有的系统没有可以省略 建议使用360系统急救箱（ /SuperKiller.exe 直接点击或复制到工具里下载）扫描一遍 重启就可以了(它可以自动帮你修复该文件） 再打开急救箱选恢复系统DLL，看有没有误删的有的恢复 没有就不管了