扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2007年12月10日
关键字: userinit.exe病毒 userinit.exe是什么 userinit.exe下载 userinit.exe进程 userinit.exe userinit.exe专杀
解决办法:
建议按照以下的顺序杀毒,以防病毒卷土重来
1.
用系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
reg add "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE" /v debugger /t reg_sz /d debugfile.exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。
2.
进入安全模式,删除注册表键值
删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。
将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。
删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll
3.
进入安全模式,强制删除以下文件,可利用工具XDelBox
C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll
C:/Windows/system32/kawdbzy.dll
C:/Windows/system32/rsztcpm.dll
C:/Windows/system32/rsmydpm.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/igw.exe
C:/Windows/igm.exe
C:/Windows/system32/sedrsvedt.exe
C:/Windows/igm.exe
C:/Windows/system32/sjzbpm.dll
C:/Windows/system32/acvsvc.exe
C:/Windows/system32/driverssvchost.exe
C:/Windows/cmdbcs.exe
C:/Windows/dbghlp32.exe
C:/Windows/vdispdrv.exe
C:/Windows/upxdnd.exe
C:/Windows/system32/cmdbcs.dll
C:/Windows/system32/dbghlp32.dll
C:/Windows/system32/upxdnd.dll
C:/Windows/system32/yfmtdiouaf.dll
4.
搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5.
运行services.msc,禁止服务“4f506c9e”
6.
另外查看hosts文件,检查是否病毒网站IP被强制关联了
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。