userinit.exe异常的全面解决方案
关于
文件名:
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%\
位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit
描述:
是Windows操作系统notepad++一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。也有可能是黑客伪装的木马程序。正常程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序,当被病毒破坏或的注册表键值被病毒修改,可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销,再次尝试登录,又会再次注销。
异常的userinit
当被病毒替换,或注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
文件名:
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%\
位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit
描述:
是Windows操作系统notepad++一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。也有可能是黑客伪装的木马程序。正常程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序,当被病毒破坏或的注册表键值被病毒修改,可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销,再次尝试登录,又会再次注销。
异常的userinit
当被病毒替换,或注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi
ndows NT\CurrentVersion\Winlogon键下userinit的正常值C:\WINDOWS\被修改,系统就可能出现登录异常。表现为:win登录时,反复注销,或者无法启动到windows桌面,按ctrl+alt+del,调出任务管理器,通过任务管理器启动,反而可以启动到桌面。
此时,使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象,很可能与木马下载器、机器狗等有关,使用金山清理专家或金山毒霸会检测到更多病毒或木马。
解决方案:
金山清理专家可以修复异常的userinit破坏的注册表键,但不能修复被病毒破坏的文件。因为,金山清理专家不可以复制传播未经知识产权所有人(对“异常的userinit”来说,指微软公司)授权的程序。
这种情况下,我们有几种方法来修复被破坏的。如果你发现此文,你一定不需要重装系统,顺便BS一下遇事就重装的
修复异常的userinit,首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净,最后再修复。
方法1,从其它正常的电脑把%system%\复制到U盘,再恢复到故障电脑。
此时,使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象,很可能与木马下载器、机器狗等有关,使用金山清理专家或金山毒霸会检测到更多病毒或木马。
解决方案:
金山清理专家可以修复异常的userinit破坏的注册表键,但不能修复被病毒破坏的文件。因为,金山清理专家不可以复制传播未经知识产权所有人(对“异常的userinit”来说,指微软公司)授权的程序。
这种情况下,我们有几种方法来修复被破坏的。如果你发现此文,你一定不需要重装系统,顺便BS一下遇事就重装的
修复异常的userinit,首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净,最后再修复。
方法1,从其它正常的电脑把%system%\复制到U盘,再恢复到故障电脑。
使用该方法的前提是windows可以启动,只是不太容易登录,比如你也可以通过任务管理器启动,从而显示桌面后再操作。
方法2,使用winpe光盘(比如常见的深山红叶工具光盘、ERD急救光盘等)急救
使用WINPE恢复的完整操作,可以参考这里:bbs.duba/thread-21843365-1-1.html,本文摘取了最关键的步骤供网友参考。
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
使用WINPE恢复的完整操作,可以参考这里:bbs.duba/thread-21843365-1-1.html,本文摘取了最关键的步骤供网友参考。
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
下载 (13.61 KB)
2008-1-16 12:49
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
下载 (3.3 KB)
2008-1-16 12:49
进入WinPE虚拟出的系统后到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options】下到项,将其删除。(从截图可以看到病毒将劫持到不存在文件上面会导致XP系统反复注销)
下载 (31.05 KB)
2008-1-16 12:49
此步操作可能没有到病毒劫持的项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下,到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\,』如图所示:
下载 (41.4 KB)
2008-1-16 12:49
接下来我们需要将WinPE盘里面的文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱到I386目 录下system32目录,右键单击文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:
下载 (51.34 KB)
2008-1-16 12:49
如果在系统目录下存在文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
下载 (42.47 KB)
2008-1-16 12:49
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
方法3,使用windows安装光盘,引导系统到故障恢复控制台,再从安装盘中恢复
有关windows故障恢复控制台的使用方法,参考这里:bbs.duba/thread-21826218-1-2.html,本文节选了该文的部分关键内容。
windows安装光盘引导至
按R,选择启动到故障恢复控制台
如果是双系统,会显示两个windows的路径,选一个正确的就可以了。需要输入管理员口令,这个口令安装这个系统的人应该是清楚的,如果不知道,尝试下直接回车,估计不少人是空口令。
执行expand D:\i386\USERINIT.EX_ C:\windows\sytem32\USERINIT.EXE(这里假设D为光驱盘符,你的系统安装在c盘windows目录。)
爱毒霸社区独家发布userinit异常的修复工具
感谢Antivirus、水中雁二位完成开发
方法3,使用windows安装光盘,引导系统到故障恢复控制台,再从安装盘中恢复
有关windows故障恢复控制台的使用方法,参考这里:bbs.duba/thread-21826218-1-2.html,本文节选了该文的部分关键内容。
windows安装光盘引导至
按R,选择启动到故障恢复控制台
如果是双系统,会显示两个windows的路径,选一个正确的就可以了。需要输入管理员口令,这个口令安装这个系统的人应该是清楚的,如果不知道,尝试下直接回车,估计不少人是空口令。
执行expand D:\i386\USERINIT.EX_ C:\windows\sytem32\USERINIT.EXE(这里假设D为光驱盘符,你的系统安装在c盘windows目录。)
爱毒霸社区独家发布userinit异常的修复工具
感谢Antivirus、水中雁二位完成开发
RAR包的MD5值:a269c543bbb7b743d1c3fa3ae59c4b9d
解包后的EXE文件MD5值:1d35551fd6196d06afb014f9ca044697
FixUserinit.rar (41.38 KB)
解包后的EXE文件MD5值:1d35551fd6196d06afb014f9ca044697
FixUserinit.rar (41.38 KB)
MD5值:a269c543bbb7b743d1c3fa3ae59c4b9d
下载次数: 33634
下载次数: 33634
2008-1-17 11:47
修复工具执行后是命令行界面,点y,即可开始修复。
下载 (13.19 KB)
2008-1-17 11:47
MD5计算器供用户参考
HashCalc.rar (147.1 KB)
HashCalc.rar (147.1 KB)
MD5计算器
下载次数: 7835
下载次数: 7835
2008-1-17 11:47
请核对无误,避免被人修改
本文最后提供两个附件,分别是winxp和win2003的,如果你不到现成的正常文件替换,直接下载一个解压到故障电脑的windows\system32目录覆盖受损文件
本文最后提供两个附件,分别是winxp和win2003的,如果你不到现成的正常文件替换,直接下载一个解压到故障电脑的windows\system32目录覆盖受损文件
userinit_winxp.rar (11.64 KB) 下载次数: 40775 2008-1-16 12:49 userinit_win2003.rar (11.06 KB) 下载次数: 5006 2008-1-16 12:49 |
首先导致此类现象的原因主要有两种:
一:系统默认的userinit注册表值被修改,userinit.exe文件被替换。
二:病毒以及恶意软件利用了映像劫持技术劫持了
处理思路:修改注册表,替换正常的
由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘
一:系统默认的userinit注册表值被修改,userinit.exe文件被替换。
二:病毒以及恶意软件利用了映像劫持技术劫持了
处理思路:修改注册表,替换正常的
由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘
引导的方式修正此现象。
关于winpe的简单介绍参考百度百科:baike.baidu/view/27468.htm
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
[attach]16096762[/attach]
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
[attach]16096763[/attach]
进入WinPE虚拟出的系统后到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下
到项,将其删除。(从截图可以看到病毒将劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有到病毒劫持的项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下
关于winpe的简单介绍参考百度百科:baike.baidu/view/27468.htm
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
[attach]16096762[/attach]
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
[attach]16096763[/attach]
进入WinPE虚拟出的系统后到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下
到项,将其删除。(从截图可以看到病毒将劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有到病毒劫持的项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下
到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\,』如图所示:
[attach]16096765[/attach]
接下来我们需要将WinPE盘里面的文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱到I386目录下system32目录,右键单击文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘) 如图所示:
[attach]16096766[/attach]
如果在系统目录下存在文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
[attach]16096767[/attach]
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
[attach]16096765[/attach]
接下来我们需要将WinPE盘里面的文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱到I386目录下system32目录,右键单击文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘) 如图所示:
[attach]16096766[/attach]
如果在系统目录下存在文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
[attach]16096767[/attach]
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
附件中是进入系统后处理全部病毒文件的批处理(适用于系统盘为C盘,有非系统分区D或者E盘,分区无卷标的用户。全部解压后运行里面的Fix_Userinit.bat。)
我补充一个方法,在你不到winpe光盘时,你可以使用局域网中其它计算机完成修复。
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。
步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。
我补充一个方法,在你不到winpe光盘时,你可以使用局域网中其它计算机完成修复。
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。
步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。
故障恢复控制台是不能从安装光盘COPY这个的吧。
故障恢复控制台启动,再进入光盘的windows安装目录,执行
_ c:\windows\
有关该病毒的详细分析的报告
病毒名:Win32.Troj.BankJp.a.221184
故障恢复控制台启动,再进入光盘的windows安装目录,执行
_ c:\windows\
有关该病毒的详细分析的报告
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如、等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
1,生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
2,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3,主要危害
查“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。
4,其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5,备份下列文件
%system%\ -> %system%\dllcache\c_20911.nls
1,生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
2,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3,主要危害
查“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。
4,其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5,备份下列文件
%system%\ -> %system%\dllcache\c_20911.nls
%windir%\ -> %system%\dllcache\c_20601.nls
%system%\ -> %system%\dllcache\c_20218.nls
6,用病毒文件替换下列文件
%system%\
%windir%\
%system%\
%system%\
%system%\
%system%\
7,会在根目录下创建文件夹RECYCLER..,存放病毒备份。
8,删除windows目录下的下列文件
%system%\ -> %system%\dllcache\c_20218.nls
6,用病毒文件替换下列文件
%system%\
%windir%\
%system%\
%system%\
%system%\
%system%\
7,会在根目录下创建文件夹RECYCLER..,存放病毒备份。
8,删除windows目录下的下列文件
9,该病毒会自动更新
客服PAPA同学编写的批处理,将其保存为.bat文件,拿到有这个问题的机器上,使用任务管理器,点文件菜单,创建新任务,浏览到这个BAT文件,双击运行
del /f /s /q /a:- %systemroot%\mshelp.dll
del /f /s /q /a:- %systemroot%\mspw.dll
del /f /s /q /a:- %HOMEDRIVE%\
del /f /s /q /a:- %HOMEDRIVE%\
del /f /s /q /a:- %HOMEDRIVE%\
rd /s /q c:\RECYCLER..
rd /s /q d:\RECYCLER..
rd /s /q e:\RECYCLER..
rd /s /q f:\RECYCLER..
rd /s /q g:\RECYCLER..
客服PAPA同学编写的批处理,将其保存为.bat文件,拿到有这个问题的机器上,使用任务管理器,点文件菜单,创建新任务,浏览到这个BAT文件,双击运行
del /f /s /q /a:- %systemroot%\mshelp.dll
del /f /s /q /a:- %systemroot%\mspw.dll
del /f /s /q /a:- %HOMEDRIVE%\
del /f /s /q /a:- %HOMEDRIVE%\
del /f /s /q /a:- %HOMEDRIVE%\
rd /s /q c:\RECYCLER..
rd /s /q d:\RECYCLER..
rd /s /q e:\RECYCLER..
rd /s /q f:\RECYCLER..
rd /s /q g:\RECYCLER..
rd /s /q h:\RECYCLER..
rd /s /q i:\RECYCLER..
rd /s /q j:\RECYCLER..
move /y %systemroot%\system32\dllcache\c_20911.nls %systemroot%\
move /y %systemroot%\system32\dllcache\c_20601.nls %systemroot%\
move /y %systemroot%\system32\dllcache\c_20218.nls %systemroot%\
%systemroot%\
%systemroot%\system32\
%systemroot%\
%systemroot%\system32\
%systemroot%\
%systemroot%\system32\
rd /s /q i:\RECYCLER..
rd /s /q j:\RECYCLER..
move /y %systemroot%\system32\dllcache\c_20911.nls %systemroot%\
move /y %systemroot%\system32\dllcache\c_20601.nls %systemroot%\
move /y %systemroot%\system32\dllcache\c_20218.nls %systemroot%\
%systemroot%\
%systemroot%\system32\
%systemroot%\
%systemroot%\system32\
%systemroot%\
%systemroot%\system32\
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论