欢迎进入反病毒社区论坛，与技术人员互动交流进入

关于userinit.exe

文件名: userinit.exe
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%\userinit.exe
位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit

描述：
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序，当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改，可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销，再次尝试登录，又会再次注销。

异常的userinit
当userinit.exe被病毒替换，或注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon键下userinit的正常值C:\WINDOWS\system32\UserInit.exe被修改，系统就可能出现登录异常。表现为：win登录时，反复注销，或者无法启动到windows桌面，按ctrl+alt+del，调出任务管理器，通过任务管理器启动explorer.exe，反而可以启动到桌面。

只能用特殊办法了，看看ADL介绍的方法吧：
userinit.exe是不能关闭的，如果要是关闭了，则系统都进不去了哦，甚至连安全模式也都进不去了
如果不小心关闭了，解决办法是：
ERD光盘启动电脑！
在ERD菜单打开RegEdit
找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon键下的Userinit字符串
更改该值为
WIN2000:c:\winnt\system32\userinit.exe,
WINXP/2003:c:\windows\system32\userinit.exe,
然后重新启动可解决问题

说明：这个一般是由于可恶的病毒把自身加载到了注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon分支下的键值Userinit项的后面C:\WINDOWS\system32\userinit.exe，形成C:\WINDOWS\system32\userinit.exe，病毒文件.exe的形式，杀毒软件清除时，不小心将整个键值清除，那么系统无法初始化，就会反复注销了。推荐一个解决办法：利用深山红叶袖珍PE系统工具箱修改本机注册表。深山红叶可以从网上下载刻录成光盘，去搜索引擎搜索“深山红叶 系统工具 下载”，有资金的可以去买一张。下载地址：http://www.downxia.com/downinfo/188.html
光盘启动，进入深山红叶窗口-深山红叶光盘工具箱－开始－强力系统修复ERD2003－首先在此设置当前系统目录！
(当前＝C:\windows[这里一定要选择当前系统路径])－注册表编辑器(Regedit,针对硬盘操作系统)
找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]分支，将其右侧的键"Userinit"（如果没有就新建一个，类型为“字符串”），改为为"C:\WINDOWS\system32\userinit.exe,"，注意要写到逗号，引号不要写，重新启动就可以了。
如果你的硬盘上的userinit.exe文件不幸损坏，可以利用xp自带的expand命令从安装盘提取此文件。
例子：假设光盘在G盘，你的系统安装在C盘，那么命令可以这样写：
expand G:\i386\USERINIT.EX_ C:\Windows\system32
好了就到这里了~~~

图解

关于userinit.exe

文件名: userinit.exe
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%\userinit.exe
位置: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon\userinit

描述：
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序，当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改，可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销，再次尝试登录，又会再次注销。

异常的userinit
当userinit.exe被病毒替换，或注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon键下userinit的正常值C:\WINDOWS\system32\UserInit.exe被修改，系统就可能出现登录异常。表现为：win登录时，反复注销，或者无法启动到windows桌面，按ctrl+alt+del，调出任务管理器，通过任务管理器启动explorer.exe，反而可以启动到桌面。

此时，使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象，很可能与木马下载器、机器狗等有关，使用金山清理专家或金山毒霸会检测到更多病毒或木马。

解决方案：
金山清理专家可以修复异常的userinit破坏的注册表键，但不能修复被病毒破坏的userinit.exe文件。因为，金山清理专家不可以复制传播未经知识产权所有人（对“异常的userinit”来说，指微软公司）授权的程序。

这种情况下，我们有几种方法来修复被破坏的userinit.exe。如果你发现此文，你一定不需要重装系统，顺便BS一下遇事就重装的

修复异常的userinit，首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净，最后再修复userinit.exe。

方法1,从其它正常的电脑把%system%\userinit.exe复制到U盘，再恢复到故障电脑。
使用该方法的前提是windows可以启动，只是不太容易登录，比如你也可以通过任务管理器启动explorer.exe，从而显示桌面后再操作。

方法2,使用winpe光盘（比如常见的深山红叶工具光盘、ERD急救光盘等）急救
使用WINPE恢复userinit.exe的完整操作，可以参考这里：http://bbs.duba.net/thread-21843365-1-1.html，本文摘取了最关键的步骤供网友参考。

首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：

001.png (13.61 KB)

2008-1-16 12:49

重启后WinPE的启动时间比较长，请耐心等待。如图所示：

002.png (3.3 KB)

2008-1-16 12:49

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options】下找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）

003.png (31.05 KB)

2008-1-16 12:49

此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下，找到里面的Userinit键值，将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图所示：

004.png (41.4 KB)

2008-1-16 12:49

接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目 录下system32目录，右键单击userinit.exe文件后选择『复制到』，将默认路径X:\windows\system32输入对话框中(X 为系统盘符，通常为C盘) 如图所示：

005.png (51.34 KB)

2008-1-16 12:49

如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：

006.png (42.47 KB)

2008-1-16 12:49

当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）

方法3,使用windows安装光盘，引导系统到故障恢复控制台，再从安装盘中恢复userinit.exe
有关windows故障恢复控制台的使用方法，参考这里：http://bbs.duba.net/thread-21826218-1-2.html，本文节选了该文的部分关键内容。

windows安装光盘引导至


按R，选择启动到故障恢复控制台

如果是双系统，会显示两个windows的路径，选一个正确的就可以了。需要输入管理员口令，这个口令安装这个系统的人应该是清楚的，如果不知道，尝试下直接回车，估计不少人是空口令。

执行expand D:\i386\USERINIT.EX_ C:\windows\sytem32\USERINIT.EXE（这里假设D为光驱盘符，你的系统安装在c盘windows目录。）

爱毒霸社区独家发布userinit异常的修复工具
感谢Antivirus、水中雁二位完成开发

RAR包的MD5值：a269c543bbb7b743d1c3fa3ae59c4b9d
解包后的EXE文件MD5值:1d35551fd6196d06afb014f9ca044697
FixUserinit.rar (41.38 KB)

修复工具执行后是命令行界面，点y，即可开始修复。

fixuserinit.PNG (13.19 KB)

2008-1-17 11:47

MD5计算器供用户参考
HashCalc.rar (147.1 KB)

请核对无误，避免被人修改

本文最后提供两个附件，分别是winxp和win2003的userinit.exe，如果你找不到现成的正常文件替换，直接下载一个解压到故障电脑的windows\system32目录覆盖受损文件。

userinit_winxp.rar (11.64 KB)