用金山清理专家检查出如下这个问题,该怎么办?我的操作系统是WIN7
系统文件userinit出现异常怎么办?
答案:3 悬赏:40 手机版
解决时间 2021-05-16 00:54
- 提问者网友:雾里闻花香
- 2021-05-15 10:38
最佳答案
- 五星知识达人网友:舍身薄凉客
- 2021-05-15 12:14
如果打开C:\WINDOWS\system32文件夹(如果您的系统不在c盘安装,请找到对应的目录),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,点击右键查看属性,如果在属性窗口中看不到文件的版本标签的话,说明已经中了机器狗。
这种比较麻烦,需要手动修改
建议按照以下的顺序杀毒,以防病毒卷土重来
1.从网上下载系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。
2.进入安全模式,删除注册表键值
删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。
将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。
删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll
3.进入安全模式,强制删除以下文件,可利用工具XDelBox
C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll
C:/Windows/system32/kawdbzy.dll
C:/Windows/system32/rsztcpm.dll
C:/Windows/system32/rsmydpm.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/igw.exe
C:/Windows/igm.exe
C:/Windows/system32/sedrsvedt.exe
C:/Windows/igm.exe
C:/Windows/system32/sjzbpm.dll
C:/Windows/system32/acvsvc.exe
C:/Windows/system32/driverssvchost.exe
C:/Windows/cmdbcs.exe
C:/Windows/dbghlp32.exe
C:/Windows/vdispdrv.exe
C:/Windows/upxdnd.exe
C:/Windows/system32/cmdbcs.dll
C:/Windows/system32/dbghlp32.dll
C:/Windows/system32/upxdnd.dll
C:/Windows/system32/yfmtdiouaf.dll
4.搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5.运行services.msc,禁止服务“4f506c9e”
6.另外查看hosts文件,检查是否病毒网站IP被强制关联了
这种比较麻烦,需要手动修改
建议按照以下的顺序杀毒,以防病毒卷土重来
1.从网上下载系统文件userinit.exe来替换被病毒修改的userinit.exe文件,路径c:windowssystem32userinit.exe (以系统盘为C盘为例)在病毒未杀干净前,禁止IGM.exe、IGW.exe的运行。在dos窗口输入:
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f
说明:利用了映象劫持(本次专题知识点,缩写为IFEO)技术,禁止了IGW.exe和IGM.exe的运行。
2.进入安全模式,删除注册表键值
删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的
“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。
将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。
删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的
smydpm.dll
m32 sztcpm.dll
m32 C:/windows/system32kawdbzy.dll
arjbpi.dll
m32 C:/windows/system32avzxdmn.dll
aqjbpi.dll
m32 C:/windows/system32/avwgcmn.dll
C:/windows/system32/sidjazy.dll
C:/windows/system32/kapjbzy.dll
C:/windows/system32/kaqhezy.dll
C:/windows/system32/avwlbmn.dll
atbfpi.dll
m32 C:/windows/system32/kvdxcma.dll
sjzbpm.dll
m32 C/:windows/system32/kafyezy.dll
3.进入安全模式,强制删除以下文件,可利用工具XDelBox
C:/Windows/system32/kvdxsbma.dll
C:/Windows/system32/rsjzbpm.dll
C:/Windows/system32/kvdxcma.dll
C:/Windows/system32/ratbfpi.dll
C:/Windows/system32/avwlbmn.dll
C:/Windows/system32/kaqhezy.dll
C:/Windows/system32/kapjbzy.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/system32/avwgcmn.dll
C:/Windows/system32/raqjbpi.dll
C:/Windows/system32/avzxdmn.dll
C:/Windows/system32/rarjbpi.dll
C:/Windows/system32/kawdbzy.dll
C:/Windows/system32/rsztcpm.dll
C:/Windows/system32/rsmydpm.dll
C:/Windows/system32/sidjazy.dll
C:/Windows/igw.exe
C:/Windows/igm.exe
C:/Windows/system32/sedrsvedt.exe
C:/Windows/igm.exe
C:/Windows/system32/sjzbpm.dll
C:/Windows/system32/acvsvc.exe
C:/Windows/system32/driverssvchost.exe
C:/Windows/cmdbcs.exe
C:/Windows/dbghlp32.exe
C:/Windows/vdispdrv.exe
C:/Windows/upxdnd.exe
C:/Windows/system32/cmdbcs.dll
C:/Windows/system32/dbghlp32.dll
C:/Windows/system32/upxdnd.dll
C:/Windows/system32/yfmtdiouaf.dll
4.搜索所有的磁盘根目录,删除隐藏文件auto.exe和autorun.inf
5.运行services.msc,禁止服务“4f506c9e”
6.另外查看hosts文件,检查是否病毒网站IP被强制关联了
全部回答
- 1楼网友:掌灯师
- 2021-05-15 14:19
去WIN官网或中文权威网站上下载新的userinit.exe.
并且用金山清理专家将过去的文件删除,并在原文件的目录下把新下载的文件粘进去,应该可以解决了。
另:要扫描下病毒和恶意软件,应该是被篡改了。建议再做上述操作前扫描,否则新文件也将被篡改。
- 2楼网友:舍身薄凉客
- 2021-05-15 13:45
如果文件已经被病毒改写,则请不要关机,否则你就无法登录系统了,从其它机器上拷贝正常的文件之后看看是否能够覆盖原文件,文件路径为Windows\System32,但如果说是注册表中发现异常,则可让金山来进行修复,注意不是删除,删除了你也同样进不了系统,或者你自己手动修复,在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon右面窗口中双击Userinit键值,设置值为“C:\Windows\System32\Userinit.exe,”,注意最后的半角的逗号别漏了,很多人都把这个逗号给疏忽了,但这个小小的疏忽也会造成问题。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯