关于userinit.exe

　　文件名: userinit.exe

　　发行者: Microsoft Corporation

　　数字签名方: Microsoft Windows Verification PCA

　　启动类型: 注册表

　　路径:%system%\userinit.exe

　　位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit

　　描述：Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如建立网络链接和Windows壳的启动。 Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序，当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改，可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销，再次尝试登录，又会再次注销。

　　异常的userinit

　　当userinit.exe被病毒替换，或注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon键下userinit的正常值C:\WINDOWS\system32\UserInit.exe 被修改，系统就可能出现登录异常。表现为：win登录时，反复注销，或者无法启动到windows桌面，按ctrl+alt+del，调出任务管理器，通过任务管理器启动explorer.exe，反而可以启动到桌面。

　　此时，使用有关工具就会检出异常的userinit。这通常不是孤立的现象，很可能与木马下载器、机器狗等有关。

　　由于userinit.exe异常而导致的故障很多，例如：开机弹出“我的文档”。

　　解决方案：

　　修复异常的userinit，首先应该使用专用工具将恶意软件清除干净，最后再修复userinit.exe。

　　方法1　从其它正常的电脑把%system%\userinit.exe复制到U盘，再恢复到故障电脑。

　　使用该方法的前提是windows可以启动，只是不太容易登录，比如你也可以通过任务管理器启动explorer.exe，从而显示桌面后再操作。

　　方法2　使用Winpe光盘（比如常见的深山红叶工具光盘、ERD急救光盘等）急救。

　　首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：

　　重启后WinPE的启动时间比较长，请耐心等待。如图所示：

　　进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：　　

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \ Windows NT\CurrentVersion\Image File Execution Options下找到userinit.exe项，将其删除（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）。

　　此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项：　

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下，找到里面的Userinit键值，将其数据修改为系统默认的值"C:\WINDOWS\ system32\UserInit.exe,"，如图所示：

　　接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到 I386目录下system32目录，右键单击userinit.exe文件后选择“复制到”，将默认路径X:\windows\system32输入对话框中(X 为系统盘符，通常为C盘) 如图所示：

　　如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：

　　当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决（注意取出WinPE光盘，以避免之后反复进入WinPE系统）。

　　方法3　使用Windows安装光盘，引导系统到故障恢复控制台，再从安装盘中恢复userinit.exe。

　　windows安装光盘引导至：

　　按R，选择启动到故障恢复控制台：

　　如果是双系统，会显示两个windows的路径，选一个正确的就可以了。需要输入管理员口令，这个口令安装这个系统的人应该是清楚的，如果不知道，尝试下直接回车，估计不少人是空口令。

　　执行expand D:\i386\USERINIT.EX_ C:\windows\sytem32\USERINIT.EXE（这里假设D为光驱盘符，你的系统安装在C盘windows目录。）

　　本文最后提供两个附件，分别是winxp和win2003的userinit.exe，如果你找不到现成的正常文件替换，直接下载一个解压到故障电脑的windows\system32目录覆盖受损文件。