Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。

详细介绍

系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的

最近电脑突然卡，发现杀毒软件老是报告userinit.exe被修改

如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装，请找到对应的目录)，找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。[1]

病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。

userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束

svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。

通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀!!前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动.

另外，最新的机器狗病毒，arp防火墙监控不到!!

穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播!

如果已经被这个病毒迫害了系统，不能登陆，查看：

机器狗及其变种造成userinit.exe异常的解决方案

解决方法

电脑系统文件经常会受到病毒的侵扰，导致系统文件丢失、损坏。从网上下载系统文件进行替换，可能会因为系统文件版本与操作系统不相符造成不兼容的情况;建议使用专业的系统文件修复工具进行修复。

1、下载可牛杀毒系统急救箱。

2、点击“开始急救”，进行一键式修复，智能匹配与操作系统相符的系统文件。

3、使用可牛免费杀毒对电脑进行全面扫描，清除电脑中存在的潜在危险。

以下分二部分，一部分是批处理，一部分是注册表!请确保c:\windows\system32\userinit.exe是无毒文件

@echo off

md%systemroot%\system32\1

md %systemroot%\system32\1\2

copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\

echo y|cacls c:\windows\system32\1\2 /p everyone:f

echo y|cacls c:\windows\system32\1 /p everyone:n

md

cacls % /e /p everyone:n

echo y|cacls c:\windows\system32\userinit.exe /p everyone:n

md c:\WINDOWS\AVPSrv.exe >nul 2>nul

md c:\WINDOWS\DiskMan32.exe >nul 2>nul

md c:\WINDOWS\IGM.exe>nul 2>nul

md c:\WINDOWS\Kvsc3.exe>nul 2>nul

md c:\WINDOWS\lqvytv.exe >nul 2>nul

md c:\WINDOWS\MsIMMs32.exe >nul 2>nul

md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul

md.exe >nul 2>nul

md c:\WINDOWS\system32\a.exe >nul 2>nul

md c:\WINDOWS\upxdnd.exe>nul 2>nul

md c:\WINDOWS\WinForm.exe >nul 2>nul

md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul

md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul

md c:\WINDOWS\cmdbcs.exe>nul 2>nul

md c:\WINDOWS\dbghlp32.exe >nul 2>nul

md c:\WINDOWS\nvdispdrv.exe>nul 2>nul

md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul

md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul

md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul

md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul

echo y|cacls.exec:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul

echo y|cacls.exe .exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\IGM.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\Kvsc3.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\upxdnd.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\cmdbcs.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\nvdispdrv.exe/d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul

echo y|cacls.exec:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul

echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul

echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f

echo gpupdate

exit

下面是注册表部分!

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]

"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00

"TypesSupported"=dword:00000007

另存为*.reg

运行以上两个文件,立即搞定.

第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,

第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe

第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,

为:C:\WINDOWS\system32\mylogin.exe,

注意键值后面有个英文逗号

第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限

手动​解决办法

建议按照以下的顺序杀毒，以防病毒卷土重来

1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件，路径c:windows/system32/userinit.exe (以系统盘为C盘为例)在病毒未杀干净前，禁止IGM.exe、IGW.exe的运行。在dos窗口输入：

r Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f

Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f

说明：利用了映象劫持(本次专题知识点，缩写为IFEO)技术，禁止了IGW.exe和IGM.exe的运行。

2.进入安全模式，删除注册表键值

删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。

[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的

“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。

将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。

删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的

smydpm.dll

m32 sztcpm.dll

m32 C:/windows/system32kawdbzy.dll

arjbpi.dll

m32 C:/windows/system32avzxdmn.dll

aqjbpi.dll

m32 C:/windows/system32/avwgcmn.dll

C:/windows/system32/kapjbzy.dll

C:/windows/system32/kaqhezy.dll

C:/windows/system32/avwlbmn.dll

atbfpi.dll

m32 C:/windows/system32/kvdxcma.dll

sjzbpm.dll

m32 C/:windows/system32/kafyezy.dll

3.进入安全模式，强制删除以下文件，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll

C:/Windows/system32/rsjzbpm.dll

C:/Windows/system32/kvdxcma.dll

C:/Windows/system32/ratbfpi.dll

C:/Windows/system32/avwlbmn.dll

C:/Windows/system32/kaqhezy.dll

C:/Windows/system32/kapjbzy.dll

C:/Windows/system32/avwgcmn.dll

C:/Windows/system32/raqjbpi.dll

C:/Windows/system32/avzxdmn.dll

C:/Windows/system32/rarjbpi.dll

C:/Windows/system32/kawdbzy.dll

C:/Windows/system32/rsztcpm.dll

C:/Windows/system32/rsmydpm.dll

C:/Windows/igw.exe

C:/Windows/igm.exe

C:/Windows/system32/sedrsvedt.exe

C:/Windows/igm.exe

C:/Windows/system32/sjzbpm.dll

C:/Windows/system32/acvsvc.exe

C:/Windows/system32/driverssvchost.exe

C:/Windows/cmdbcs.exe

C:/Windows/dbghlp32.exe

C:/Windows/vdispdrv.exe

C:/Windows/upxdnd.exe

C:/Windows/system32/cmdbcs.dll

C:/Windows/system32/dbghlp32.dll

C:/Windows/system32/upxdnd.dll

C:/Windows/system32/yfmtdiouaf.dll

4.搜索所有的磁盘根目录，删除隐藏文件auto.exe和autorun.inf

5.运行services.msc，禁止服务“4f506c9e”

6.另外查看hosts文件，检查是否病毒网站IP被强制关联了

问题描述

出现提示缺少exe文件问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件，出现错误提示框，或程序无法运行，解决此问题只需找到专业的exe文件下载网站，下载该文件后，找到适合程序的文件版本，复制到相应目录。即可解决。

1、Windows 95/98/Me系统，则复制到C:\WINdows\system32\ 目录下。

2、Windows NT/2000系统，则复制到C:\WINNT\system32\ 目录下。

3、Windows XP系统，则复制到C:\WINdows\system32\ 目录下。

4、Windows 7/8系统，则复制到C:\WINdows\system32\目录下。

责任编辑：kj005

文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com