Userinit.exe是Windows操作系統(tǒng)一個關鍵進程。用于管理不同的啟動順序，例如在建立網(wǎng)絡鏈接和Windows殼的啟動。

系統(tǒng)剛啟動時,如果你調出任務管理器就會看到userinit.exe ,但過一段時間,系統(tǒng)各項加載完畢后,userinit.exe就會自動消失的
最近電腦突然卡，發(fā)現(xiàn)殺毒軟件老是報告userinit.exe被修改
如果打開C:\WINDOWS\system32文件夾（如果您的系統(tǒng)不在c盤安裝，請找到對應的目錄），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，點擊右鍵查看屬性，如果在屬性窗口中看不到文件的版本標簽的話，說明已經(jīng)中了機器狗。
病毒創(chuàng)建userinit.exe，放入到%systemroot%system32目錄下。然后，userinit.exe開始接手工作。userinit.exe進程結束。
userinit.exe上臺后，開始創(chuàng)建svchost.exe進程。任務完成后，userinit.exe進程自動結束
svchost.exe就是主角登場了，它開始在本地端口4444號上監(jiān)控，同時瘋狂下載諸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估計還會下載其它N多病毒。
通過以上三個動作，病毒已完成取得了系統(tǒng)指揮大權的全部過程。當病毒干完它想干的事情后，一切進程都稍無聲息的消失不見。于是乎，你不小心的話，根本就不會認為你的系統(tǒng)已被成功入侵了。真是天衣無縫呀！！前面兩個進程，在進程列表里，停留的時間極短，幾乎是一閃而過。而后面主角svchost.exe，我想你怎么也不會懷疑到它頭上。系統(tǒng)服務的核心進程，大部分都是用它啟動.
另外，最新的機器狗病毒，arp防火墻監(jiān)控不到!!
穿破還原后，連接IP為xxx.xxx.xxx.xxx這個IP下載更厲害的變種病毒，破壞GHOST文件，自動打開SERVER服務，局域內迅速傳播！

userinit.exe病毒手動解決辦法

建議按照以下的順序殺毒，以防病毒卷土重來

1.用系統(tǒng)文件userinit.exe來替換被病毒修改的userinit.exe文件，路徑c:windows/system32/userinit.exe （以系統(tǒng)盤為C盤為例）在病毒未殺干凈前，禁止IGM.exe、IGW.exe的運行。在dos窗口輸入：

reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f
說明：利用了映象劫持（本次專題知識點，縮寫為IFEO）技術，禁止了IGW.exe和IGM.exe的運行。

2.進入安全模式，刪除注冊表鍵值

刪除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”鍵值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”鍵值。
將[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的內容清空。
刪除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll

3.進入安全模式，強制刪除以下文件，可利用工具XDelBox

C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll

12下一頁>