userinit(什么是userinit)
一、userinit是什么东西,干什么用的,是病毒吗
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。不是病毒。
1、userinit.exe大多数情况下是感染木马病毒以后被杀毒软件当成病毒木查杀,造成userinit.exe丢失。也有可能是病毒替换userinit.exe文件所造成的。userinit.exe丢失、userinit.exe损坏、userinit.exe找不到等情况,都可以用以下方法解决userinit.exe问题:
2、“潜行者”病毒以感染Windows系统文件userinit.exe作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会加载各种流行网游盗号木马(特征是扩展名为drv),盗取《天龙八部》,《剑网三》,《QQ地下城勇士》,《CF》等流行网游的账号。同时,也会使游戏过程中频繁卡机。
3、“系统文件替换病毒”的出现,意味着网游盗号产业进一步细化分工,可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“userinit.exe病毒”这种通过感染userinit.exe文件,从而将木马加载进网游进程的形势,可以绕过大多数安全软件的检测。这也是“系统文件感染病毒”至今没有被主流杀软查杀的原因。
4、多数杀毒软件对“潜行者”病毒无法查杀,或查杀后造成系统找不到userinit.exe文件,导致运行网游时弹出系统文件丢失提示。
5、userinit.exe修复方法:
1、使用可牛免费杀毒进行全盘扫描能够完美清除该病毒,修复系统文件。
2、如果因其他杀软查杀,导致电脑出现userinit.exe文件丢失,可以使用可牛系统文件修复工具进行系统文件完美修复。
可修复系统文件列表:
explorer.exe,explorer.exe,D3d8.dll,rpcss.dll,olepro32.dll,d3d8thk.dll,wsock32.dll,comdlg32.dll,d3d9.dll,lpk.dll,kernel32.dll,ksuser.dll,urlmon.dll,npptools.dll,rundll32.exe,comres.dll,imm32.dll,usp10.dll,midimap.dll,dinput8.dll,userenv.dll,,explorer.exe,conime.exe,msvcrt.dll,dbghelp.dll,D3D8THK.DLL,NETBIOS.SYS,msvcr71.dll,msimg32.dll,Userinit.exe,Explorer.exe,sensapi.dll
可牛系统文件修复工具下载地址:
二、userinit是什么程序
userinit.exe
进程文件:userinit或者 userinit.exe
进程名称: userinit process
描述: userinit.exe是windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和windows壳的启动。
出品者:microsoft corp.
属于: windows
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:未知
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马:否
系统刚启动时,如果你调出任务管理器就会看到userinit.exe,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的.
如果遇到修改你的程序这种情况时,请检查你的系统中可能存在的病毒。
三、CPU占用100% userinit.exe 占用CPU70%~80% 请问是木马
系统刚启动时,如果你调出任务管理器就会看到userinit.exe,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
病毒创建userinit.exe,放入到%systemroot%system32目录下。然后,userinit.exe开始接手工作。userinit.exe进程结束。
userinit.exe上台后,开始创建svchost.exe进程。任务完成后,userinit.exe进程自动结束
svchost.exe就是主角登场了,它开始在本地端口4444号上监控,同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想,估计还会下载其它N多病毒。
通过以上三个动作,病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后,一切进程都稍无声息的消失不见。于是乎,你不小心的话,根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀!!前面两个进程,在进程列表里,停留的时间极短,几乎是一闪而过。而后面主角svchost.exe,我想你怎么也不会怀疑到它头上。系统服务的核心进程,大部分都是用它启动.
另外,最新的机器狗病毒,arp防火墙监控不到!!
穿破还原后,连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒,破坏GHOST文件,自动打开SERVER服务,局域内迅速传播!
如果已经被这个病毒迫害了系统,不能登陆,查看:
机器狗及其变种造成userinit.exe异常的解决方案
解决方法:
Userinit.exe修复工具
机器狗病毒Userinit.exe免疫程序
Zonga告诉大家解决方法:
利用注册表法::(转载请注明来自本空间)
以下分二部分,一部分是批处理,一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件
@echo off
md%systemroot%\system32\1
md%systemroot%\system32\1\2
copy/y c:\windows\system32\userinit.exe c:\windows\system32\1\2\
echo y|cacls c:\windows\system32\1\2/p everyone:f
echo y|cacls c:\windows\system32\1/p everyone:n
md%systemroot%\system32\drivers\pcihdd.sys
cacls%systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
echo y|cacls c:\windows\system32\userinit.exe/p everyone:n
md c:\WINDOWS\AVPSrv.exe>nul 2>nul
md c:\WINDOWS\DiskMan32.exe>nul 2>nul
md c:\WINDOWS\IGM.exe>nul 2>nul
md c:\WINDOWS\Kvsc3.exe>nul 2>nul
md c:\WINDOWS\lqvytv.exe>nul 2>nul
md c:\WINDOWS\MsIMMs32.exe>nul 2>nul
md c:\WINDOWS\system32\3CEBCAF.EXE>nul 2>nul
md%windir%\system32\drivers\svchost.exe>nul 2>nul
md c:\WINDOWS\system32\a.exe>nul 2>nul
md c:\WINDOWS\upxdnd.exe>nul 2>nul
md c:\WINDOWS\WinForm.exe>nul 2>nul
md c:\WINDOWS\system32\rsjzbpm.dll>nul 2>nul
md c:\WINDOWS\system32\racvsvc.exe>nul 2>nul
md c:\WINDOWS\cmdbcs.exe>nul 2>nul
md c:\WINDOWS\dbghlp32.exe>nul 2>nul
md c:\WINDOWS\nvdispdrv.exe>nul 2>nul
md c:\WINDOWS\system32\cmdbcs.dll>nul 2>nul
md c:\WINDOWS\system32\dbghlp32.dll>nul 2>nul
md c:\WINDOWS\system32\upxdnd.dll>nul 2>nul
md c:\WINDOWS\system32\yfmtdiouaf.dll>nul 2>nul
echo y|cacls.exe c:\WINDOWS\AVPSrv.exe/d everyone>nul 1>nul
echo y|cacls.exe%windir%\system32\drivers\svchost.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\DiskMan32.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\IGM.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\Kvsc3.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\lqvytv.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\a.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\upxdnd.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\WinForm.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\cmdbcs.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\dbghlp32.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll/d everyone>nul 1>nul
echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll/d everyone>nul 1>nul
echo reg add"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE"/v debugger/t reg_sz/d debugfile.exe/f
echo gpupdate
exit
下面是注册表部分!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]
"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00
"TypesSupported"=dword:00000007
另存为*.reg
运行以上两个文件,立即搞定.
3.防userinit.exe修改方法:(转载请注明来自本空间)
第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,
第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe
第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,
为:C:\WINDOWS\system32\mylogin.exe,
注意键值后面有个英文逗号
第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限