当前位置：首页 > 实用文档 > 其他范文> userinit病毒原理及其清除和预防方法

userinit病毒原理及其清除和预防方法

时间：2022-06-18 05:23:42 其他范文收藏本文下载本文

userinit病毒原理及其清除和预防方法（共8篇）由网友“江湖骗子帅帅”投稿提供，下面是小编为大家整理后的userinit病毒原理及其清除和预防方法，仅供参考，大家一起来看看吧。

篇1：userinit病毒原理及其清除和预防方法

userinit病毒原理及其清除和预防方法

最近有一个极其恶劣的病毒替换系统中的用户userinit.exe文件，网上一般称其为“机器狗”病毒或“IMG病毒”，下面就对这个病毒的原理和清除方法进行说明。

Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。进程文件为userinit或者userinit.exe，进程名称是UserInitProcess。

正因为是一个操作系统的关键进程，所有许多人能够鉴别出该进程为病毒并删除该病毒文件，可是windows重启之后蓝屏。

该病毒一般会配合其它木马病毒一起出现，该病毒的目的是利用uesinit.exe的目的是实现隐藏启动。动作流程并不复杂,比起熊猫烧香,AV终结者来说要简单不少,运行后首先会替换系统的Userinit.exe文件，病毒接着在windows/system32/drivers文件夹中生成一个名为pcihdd.sys的驱动文件，病毒正是借助这个驱动文件来实现还原软件和还原卡的^^的`。我们知道还原软件和还原卡之所以能够保护硬盘数据，是因为它具有很高的权限，能够夺取硬盘的控制权，在系统启动之前，将硬盘中的数据还原，而pcihdd,sys这个文件会和还原软件或还原卡抢夺硬盘的控制权，大部分还原软件和还原卡的控制权都会被pcihdd.sys夺取，它们就失去了还原数据的能力，这样病毒就可以避开还原卡的在硬盘中安营扎寨了。

理解了这个病毒的原理，那么清除这个病毒就比较简单了。

1，用正常的userinit.exe文件替换被修改的userinit.exe文件。首先新建个文本，输入内容：

@echo off

taskkill /f /im userinit.exe

del userinit.exe /f/q/a

将这个记事本保存为kill.bat双击运行。然后从其它干净的电脑拷贝一份userinit.exe文件，将它放到system32目录中。

2，册除pcihdd.sys文件，该文件们于windows/system32/drivers文件夹中。用记事本打开们于windows/system32/drviers/etc的hosts文件，在最后添加这样一行127.0.0.1 ，修改完后保存文件

3，用360安全卫士配合杀软清除系统中残留的盗号木马病毒。

4，为了更好的预防机器狗病毒，我们可以用批处理将pcihdd.sys的文件夹设置为禁止修改。批处理

md %systemroot%system32driverspcihdd.sys

cacls %systemroot%system32driverspcihdd.sys/e/p everyone:n

cacls %systemroot%system32userinit /e/p erveryone:r

网上流传的各种清除工具原理亦基本如上。

对这个病毒的预防基本就是不让其修改Userinit.exe文件，二是禁止修改pcihdd.sys，三是开启windows文件保护（这其实也是网吧中毒较多的原因，网吧大多用精减修改过的windows操作系统，系统文件保护功能被关闭）。

篇2：upxdnd.dll病毒清除方法

此为征途网游木马，清除方法如下：

1.在C盘搜索

2.安装unlocker工具，对着upxdnd.dll文件右击，选择unlocker，在弹出的界面上选择全部解锁，

upxdnd.dll病毒清除方法

，

然后再删除它。

3.在开始运行里输入

regsvr32/uc:windowssystem32upxdnd.dll

回车

4.然后重启,清除完成！

篇3：文件夹病毒清除方法

文件夹病毒不是一个病毒，而是具有类似性质的病毒的统称，此类病毒会将真正的文件夹隐躲起来，并天生一个与文件夹同名的exe文件，并使用文件夹的图标，使用户无法分辨，从而频繁感染。

你的U盘或数码相机中保存着重要的数据和照片，当你打开盘符的时候，却发现什么都没有了，相信这时你的脑袋会嗡的一下，然后急着想看看发生了什么事，于是疯狂地打开一个个文件夹进行查看。而这时文件夹病毒早已伪装成文件夹了，你运行的只是病毒而已。很多朋友都不喜欢显示文件的扩展名，再加上病毒伪装得和真正的文件夹一模一样，因此在这种情况下，相信尽大部分的人都会中招。

当然这还没完，当你发现U盘中有文件夹，但是却死活打不开，于是你就会想到往别的电脑上打开一下，看看是不是U盘坏了，于是又一台电脑被感染了。

一、文件夹病毒手工清除方法

看了编辑提示，相信你也一定会说这病毒太***太猥琐了!好吧，假如你不幸被这猥琐的家伙感染了，那么我们就来尝试手工把它清除出往吧。

Step1：结束病毒进程。任务治理器中终止进程XP-290F2C69.EXE (后8 位随机),winvcreg.exe，.exe(随机名)。

Step2：删除病毒在System32天生的以下文件：com.run、dp1.fne、eAPI.fne、internet.fne、 krnln.fnr、og.dll、og.edt、RegEx.fnr、spec.fne、ul.dll、XP-290F2C69.EXE、 winvcreg.exe 2008.EXE(随机名)

Step3：删除病毒的启动项，删除以下启动项：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”里的XP-**.EXE(后8 位随机)及“C：Documents and SettingsAdministrator「开始」菜单程序启动”里的“.lnk”。

Step4：显示移动磁盘里隐躲的原有文件夹，方法是：工具--文件夹选项-- 查看--取消“隐躲受保护的操纵系统文件”前的钩，以及选择“显示所有的文件和文件夹”确定，并删除以文件夹图标为图标的exe病毒文件。

假如你碰到的是该病毒的变种，那么可以使用文件夹病毒的专杀工具一次性解决题目。专杀工具下载地址：www.duote.com/soft/3814.html。运行后直接查杀，世界就清静了。

二、文件夹病毒的防御

文件夹病毒的技术并不高深，因此防御起来还是相对简单的，只需要把握两点即可：

1、显示文件的后缀名。方法为：

打开“我的电脑”，选择“工具”菜单→“ 文件夹选项”，选择“查看”，取消“隐躲已知文件类型的扩展名”前的对钩，然后点击“确定”。这样当你看到exe后缀的文件夹就不太会想往双击了吧。

2、禁用自动播放。对付U 盘类病毒，最好用的方法就是禁用自动播放。方法为：点击“开始”→“运行”，输进“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“治理模版”→“系统”，在右侧窗口可以找到“停用自动播放”项，其状态为“未被配置”。双击之，在“策略”中选中“启用”选项，点击“确定”即可。

文件夹病毒的防与治你看明白了吗？在遇到类似的问题。你大可不必慌张了，使用上述的方法为自己排忧解难吧！

篇4：lsass.exe病毒清除方法

如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe 两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生 command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。

篇5：lsass.exe病毒清除方法

一、准备工作

打开“我的电脑”——工具——文件夹选项——查看

a、把“隐藏受保护的操作系统文件（推荐）”和“隐藏已知文件类型的扩展名”前面的勾去掉；

b、勾中“显示所有文件和文件夹”

二、结束进程

1、用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

2、点到任务管理器进程面版，点击菜单，“查看”－“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。找到映象名称为 “LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。

3、输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。

三、删除病毒文件

删除如下几个文件：

C:Program FilesCommon FilesINTEXPLORE.pif （有的没有.pif）

C:Program FilesInternet ExplorerINTEXPLORE.com

C:WINDOWSEXERT.exe （或者exeroute.exe）

C:WINDOWSIO.SYS.BAK

C:WINDOWSLSASS.exe

C:WINDOWSDebugDebugProgram.exe

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.

四、删除注册表中的其他垃圾信息

将C:WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：

1、HKEY_CLASSES_ROOTWindowFiles

2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项

五、修复注册表中被篡改的键值

1、将HKEY_CLASSES_ROOT.exe的默认值修改为 “exefile”(原来是windowsfile)

2、将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为“C:Program FilesInternet Exploreriexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和 HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” –nohome

6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)

六、关掉注册表编辑器

将C:WINDOWS目录下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先将重名的regedit.exe删除，再将regedit.com改为regedit.exe。

看上面的清除lsass.exe病毒的方法来看，说明中了lsass.exe病毒后清除lsass.exe病毒还是很复杂的，因此需要时时检测自己的电脑是否中毒，若中毒，及时清除病毒以免受感染。