科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道userinit.exe解决办法

userinit.exe解决办法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。

作者:论坛整理 来源:zdnet网络安全 2007年12月10日

关键字: userinit.exe病毒 userinit.exe是什么 userinit.exe下载 userinit.exe进程 userinit.exe userinit.exe专杀

  • 评论
  • 分享微博
  • 分享邮件

解决办法:

建议按照以下的顺序杀毒,以防病毒卷土重来

1.

用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE" /v debugger /t reg_sz /d debugfile.exe /f

说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。

2.

进入安全模式,删除注册表键值

删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。

将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。

删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的

smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll

3.

进入安全模式,强制删除以下文件,可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll
       C:/Windows/system32/rsjzbpm.dll
       C:/Windows/system32/kvdxcma.dll
       C:/Windows/system32/ratbfpi.dll
       C:/Windows/system32/avwlbmn.dll
       C:/Windows/system32/kaqhezy.dll
       C:/Windows/system32/kapjbzy.dll
       C:/Windows/system32/sidjazy.dll
       C:/Windows/system32/avwgcmn.dll
       C:/Windows/system32/raqjbpi.dll
       C:/Windows/system32/avzxdmn.dll
       C:/Windows/system32/rarjbpi.dll
       C:/Windows/system32/kawdbzy.dll
       C:/Windows/system32/rsztcpm.dll
       C:/Windows/system32/rsmydpm.dll
       C:/Windows/system32/sidjazy.dll
       C:/Windows/igw.exe
       C:/Windows/igm.exe
       C:/Windows/system32/sedrsvedt.exe
       C:/Windows/igm.exe
       C:/Windows/system32/sjzbpm.dll
       C:/Windows/system32/acvsvc.exe
       C:/Windows/system32/driverssvchost.exe
       C:/Windows/cmdbcs.exe
       C:/Windows/dbghlp32.exe
       C:/Windows/vdispdrv.exe
       C:/Windows/upxdnd.exe
       C:/Windows/system32/cmdbcs.dll
       C:/Windows/system32/dbghlp32.dll
       C:/Windows/system32/upxdnd.dll
       C:/Windows/system32/yfmtdiouaf.dll

4.

搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf

5.

运行services.msc,禁止服务“4f506c9e”

6.

另外查看hosts文件,检查是否病毒网站IP被强制关联了

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章