1、【问题现象】1. Windows任务管理器“应用程序”选项卡中莫名出现“job1”进程。

2、2. Windows任务管理器“进程”选项卡中用户名列内容不显示，是由于Terminal Services服务被禁用，手动开启服务无效，启动服务后自动禁用。

【资料图】

3、3. 运行程序时，CPU使用提高了5%左右，表现为程序运行比较卡。

4、4. 会有莫名windows自动更新提示要求安装新补丁更新，但从“添加/删除程序”可以发现这些更新早就安装过了。

5、【问题分析】1. 根据System Safety Monitor监控显示，“job1”进程出现前，“svchost”进程会调用“rundll32”进程。

6、2. 根据System Safety Monitor监控显示，“job1”进程出现后，某程序经常访问网络。

7、3. 根据Windows清理助手扫描显示，重要系统文件userinit.exe文件被非法替换。

8、4. job1进程通过rundll32.exe进程调用，禁用rundll32.exe进程，job1进程自动终止。

9、【问题解决】不知道怎么解决，先换回userinit.exe文件再说，看看效果。

10、暂时处理方法：使用Ststem Safety Monitor阻止rundll32.exe进程的运行。

11、将userinit.exe文件换回正常文件后，现象2解决。

12、其他问题现象有待观察。

13、观察结果，问题完全解决。

14、都是userinit.exe惹的祸。

15、@ CSDN下载userinit.exe点这里。

16、@ userinit.exe位置：C：\WINDOWS\system32\userinit.exe 和 C:\WINDOWS\system32\dllcache\userinit.exe【问题后记】体验到了“工欲善其事必先利其器”的道理，这次真是多亏了“windows清理助手”的帮助了，否则还真不知道问题出在 userinit.exe 文件上，SSM也是非常好的IDS，继续深入探索会很有帮助。

17、不知道如果这个job1病毒如果会自身隐藏进程怎么办，复杂，怎么查看被隐藏的进程？又是一个问题。

18、查看进程需要知道什么？现在感觉就是要看“进程名，和调用路径，最好还有是否联网，使用哪个端口”能知道就更好了。

19、纯粹的复制 别多问。

本文到此讲解完毕了，希望对大家有帮助。