用诺顿扫描到c:\windows\system32目录下有一个jmqr.nls的文件为lnfostealer.Gampass病毒,但提示清除失败,隔离失败。进入安全模式杀毒,依然没有效果得到的是相同的提示。查看启动项,发现并没有异常的项目,也没有异常的服务。系统上装有MaxDos,直接进入MaxDos然后进入目录c:\windows\system32。找到并删除jmqr.nls。重新启动系统,进入桌面时提示"无法加载c:\windows\system32\jmqr.nls",想想这该死的东西把自启动加在哪个地方了。打开注册表,查找"jmqr.nls"。找到这样一行结果
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,c:\\windows\\system32\\Rundll32.exe C:\\WINDOWS\\system32\\jmqr.nls I,"
奶奶的,这东西居然把自启动加在了系统初始化时的进程上。备份注册表。把找到的这个注册表项的"c:\\windows\\system32\\Rundll32.exe C:\\WINDOWS\\system32\\jmqr.nls I,"去掉。重新开机,没有再出现提示无法加载的提示。运行诺顿扫毒也没有再发现有病毒。
以下是网络上查找到的Userinit.exe的信息。
userinit - userinit.exe - 进程信息
进程文件: userinit or userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本,建立网络连接和启动Shell壳。
常见错误: N/A
是否为系统进程: 否