userinits.exe, wupcltr.exe的分析及解决办法
行为:
修改注册表:
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
注册表名称:Userinit
修改后的数据为:C:\WINDOWS\system32\userinit.bat
创建以下文件:
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
该批处理内容为:
复制内容到剪贴板
代码: start C:\WINDOWS\system32\userinits.exe
start C:\WINDOWS\system32\wupcltr.exe
start C:\WINDOWS\system32\ALG.EXE
C:\Documents and Settings\dream\桌面\_dcp.bat (位于当前目录下,因为我是放在桌面上运行的)
该批处理的内容如下:
复制内容到剪贴板
代码: copy "C:\Documents and Settings\dream\桌面\wupcltr.exe" "C:\WINDOWS\system32\wupcltr.exe"
del %0
调用CMD.EXE执行上面这个批处理:复制自身到系统目录下,并删除批处理自身,即_dcp.bat
创建文件:
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\QzonePluse.exe (QQ主程序目录)
C:\Documents and Settings\dream\Local Settings\Temporary Internet Files\Content.IE5\4DU30LMF\TXPlatform[1].exe (IE缓存临时目录)
修改文件:
X:\Program Files\sina\UC\uc.exe
X:\PROGRAM FILES\TENCENT\QQ2009\BIN\TXPlatform.exe
X:\Program Files\TTPlayer\TTPlayer.exe
C:\Program Files\WinRAR\WinRAR.exe
我电脑上安装的软件不是很多,只发现他修改了这四个,UC和TTLPAYER我都好久没打开过了.....
建议中毒者全盘扫描一下,以绝后患.
重启后,C:\WINDOWS\system32\userinit.bat这个批处理将会自动运行,因为病毒修改过注册表的数据,正常的值应为userinits.exe,(或者是完整路径,即C:\WINDOWS\system32\userinit.exe,)关于该处的自启动请参看雷特反病毒教学第7课 (安装过美化包的这个路径可能会变)
这个批处理的作用是运行下面三个程序
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\wupcltr.exe
C:\WINDOWS\system32\ALG.EXE
其中前两个是病毒程序,第三个是正常程序.
解决方案:
1,使用任务管理器结束进程wupcltr.exe和userinits.exe(如果存在),关闭QQ,UC,千千静听,WINRAR等应用软件,清空IE缓存目录.
2,删除下面两个文件:
删除下面三个文件
C:\WINDOWS\system32\userinits.exe
C:\WINDOWS\system32\userinit.bat
QzonePluse.exe (位于QQ主程序目录下,不写路径了,每个人的安装位置可能都不一样)
3,开始,运行,输入regedit,确定,并定位到注册表路径:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将Userinit的值改为
C:\WINDOWS\system32\userinit.exe, (注意:后面有个逗号的)
4,修复被修改的文件,可以用杀毒软件扫描一下,或者用正常文件替换,或者重新安装这几个软件.
转载于:https://blog.51cto.com/houlun/118021
userinits.exe, wupcltr.exe的分析及解决办法相关推荐
- mysql数据库连接过多的错误,可能的原因分析及解决办法
mysql数据库连接过多的错误,可能的原因分析及解决办法 来源:网络采集 作者:未知 系统不能连接数据库,关键要看两个数据: 1.数据库系统允许的最大可连接数max_connections.这个参数是 ...
- php session_start() 非常慢,PHP session_start()很慢问题分析与解决办法
本文章来给各位同学介绍一下关于PHP session_start()很慢问题分析与解决办法,希望碰到此问题的同学可进入参考. 最近在做东西的时候发现一个问题 有一个接口挂了 ,然后进行测试访问地址的时 ...
- win8计算机usb无法识别usb设备,Win8.1无法识别USB设备原因分析及解决办法(适合Win8)...
Win8.1无法识别USB设备原因分析及解决办法 同事孩子要上大学,购买了预装Win8.1系统的笔记本,想要使用读卡器传照片,插上USB读卡器后,任务栏右下角显示无法识别的USB设备,这怎么可能呢?W ...
- php 修改css 不生效,HTML外部引用CSS文件不生效原因分析及解决办法
本文主要给大家介绍html外部引用css文件不生效的原因分析及解决办法,本文介绍的非常详细,具有参考借鉴价值,感兴趣的朋友一起学习吧 作为一个前端小白,鼓捣了几天前端..今天突然发现我深信不疑的东西, ...
- 关于一些常见智柜问题的分析及解决办法
竟然还有小伙伴感觉自研项目不好的小伙伴? 渐渐感觉不管是在小公司或者在大公司,能有一个值得奋斗的远方就可以了,比如薪资高,钱多事少离家近,自己真的对自己目前做的事情感兴趣,否则干啥都感觉没劲,尤其是在 ...
- WampServer + phpcms 开发中,浏览器 localhost 出现 Cannot to connect to mySQL server 的原因分析和解决办法?
首先,确定你phpcms的文件已经都已经放置在对应的文件目录下! 注意: 本文针对 Wampserver + phpcms 开发中出现的此类问题.其他情况仅供参考. 在安装软件**WampServer ...
- 3蛋白wb_WB常见问题原因分析及解决办法
蛋白免疫印迹(WB):基于抗原抗体的特异性结合作用,以检测复杂样品中的某种蛋白,并对其进行半定量分析的一种方法. 主要用于靶标蛋白特异性表达的定性或半定量分析,蛋白与蛋白或蛋白与DNA相互作用的后续分 ...
- JavaScript中的ParseInt(08)和“09”返回0的原因分析及解决办法
今天在程序中出现一个bugger ,调试了好久,最后才发现,原来是这个问题. 做了一个实验: alert(parseInt("01")),当这个里面的值为01====>07时 ...
- mysql update语句卡死_oracle执行update语句时卡住问题分析及解决办法
问题 开发的时候debug到一条update的sql语句时程序就不动了,然后我就在plsql上试了一下,发现plsql一直在显示正在执行,等了好久也不出结果.但是奇怪的是执行其他的select语句却是 ...
- vmware虚拟机运行速度卡慢原因分析及解决办法大全(二)
很多人在使用虚拟机系统的时候,经常对虚拟机的运行速度不甚满意,甚至经常很恼火.虚拟机速度慢有很多原因,每个人需要根据自己的情况具体分析,本文根据笔者的使用经验将从17个方面进行分析和总结,以期能尽量 ...
最新文章
- Ural 1018 (树形DP+背包+优化)
- 设计模式解析笔记之Adapter模式
- 详解C++中的函数调用和下标以及成员访问运算符的重载
- 【CodeForces - 227A】Where do I Turn? (计算几何,叉积判断直线拐向)
- java jbutton 禁用_java-禁用后对jButton执行的操作
- Win7 格式化U盘
- 分布式数据库中全局唯一主键
- Jenkins部署Web项目到远程tomcat(通过jenkins插件)
- 自编基于jQuery实现分页插件
- 使用 Flink Hudi 构建流式数据湖平台
- 485通讯线是几芯的_RS232/485串口通讯基础知识
- Office批量打印精灵4.2入门教程
- VirtualBox安装及网络配置
- 如何规避适配风险?以《乱世王者》为例,探秘手游兼容性测试之路
- 手机联系人分组名字都没了_这个你连名字都没听过的城市,深藏着江西美食的功与名...
- Android 图片毛玻璃的实现方法
- 用c语言对文件进行加密
- numpy.array和python列表的转换
- MySql进阶-间隙锁(gap-key)
- div水平居中的几种方法