本文介绍userinit.exe在Windows系统中的作用及异常表现,提供三种修复方案:从正常电脑复制文件、使用WinPE光盘急救及利用Windows安装光盘恢复。
关于userinit.exe
文件名: userinit.exe
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%/userinit.exe
位置: HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/winlogon/userinit
描述:
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。 Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失 就有可能是木马程序,当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改,可能出现windows系统不能正常登录 或输入登录用户名、口令后系统立即注销,再次尝试登录,又会再次注销。
异常的userinit
当userinit.exe被病毒替换,或注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon键下userinit的正常值C:/WINDOWS/system32/UserInit.exe 被修改,系统就可能出现登录异常。表现为:win登录时,反复注销,或者无法启动到windows桌面,按ctrl+alt+del,调出任务管理器,通 过任务管理器启动explorer.exe,反而可以启动到桌面。
此时,使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象,很可能与木马下载器、机器狗等有关,使用金山清理专家或金山毒霸会检测到更多病毒或木马。
解决方案:
金山清理专家可以修复异常的userinit破坏的注册表键,但不能修复被病毒破坏的userinit.exe文件。因为,金山清理专家不可以复制传播未经知识产权所有人(对“异常的userinit”来说,指微软公司)授权的程序。
修复异常的userinit,首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净,最后再修复userinit.exe。
方法1,从其它正常的电脑把%system%/userinit.exe复制到U盘,再恢复到故障电脑。
使用该方法的前提是windows可以启动,只是不太容易登录,比如你也可以通过任务管理器启动explorer.exe,从而显示桌面后再操作。
方法2,使用winpe光盘(比如常见的深山红叶工具光盘、ERD急救光盘等)急救
使用WINPE恢复userinit.exe的完整操作,可以参考这里: http://bbs.duba.net/thread-21843365-1-1.html,本文摘取了最关键的步骤供网友参考。
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/Image File Execution Options】下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon】下,找到里面的Userinit键值,将其数据修改为系统默认的值『C:/WINDOWS/system32/UserInit.exe,』如图所示:
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目 录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:/windows/system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
方法3,使用windows安装光盘,引导系统到故障恢复控制台,再从安装盘中恢复userinit.exe
有关windows故障恢复控制台的使用方法,参考这里: http://bbs.duba.net/thread-21826218-1-2.html,本文节选了该文的部分关键内容。
windows安装光盘引导至
按R,选择启动到故障恢复控制台
如果是双系统,会显示两个windows的路径,选一个正确的就可以了。需要输入管理员口令,这个口令安装这个系统的人应该是清楚的,如果不知道,尝试下直接回车,估计不少人是空口令。
执行expand D:/i386/USERINIT.EX_ C:/windows/sytem32/USERINIT.EXE(这里假设D为光驱盘符,你的系统安装在c盘windows目录。)
文件名: userinit.exe
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
启动类型: 注册表
路径:%system%/userinit.exe
位置: HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/winlogon/userinit
描述:
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。 Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失 就有可能是木马程序,当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改,可能出现windows系统不能正常登录 或输入登录用户名、口令后系统立即注销,再次尝试登录,又会再次注销。
异常的userinit
当userinit.exe被病毒替换,或注册表的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon键下userinit的正常值C:/WINDOWS/system32/UserInit.exe 被修改,系统就可能出现登录异常。表现为:win登录时,反复注销,或者无法启动到windows桌面,按ctrl+alt+del,调出任务管理器,通 过任务管理器启动explorer.exe,反而可以启动到桌面。
此时,使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象,很可能与木马下载器、机器狗等有关,使用金山清理专家或金山毒霸会检测到更多病毒或木马。
解决方案:
金山清理专家可以修复异常的userinit破坏的注册表键,但不能修复被病毒破坏的userinit.exe文件。因为,金山清理专家不可以复制传播未经知识产权所有人(对“异常的userinit”来说,指微软公司)授权的程序。
修复异常的userinit,首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净,最后再修复userinit.exe。
方法1,从其它正常的电脑把%system%/userinit.exe复制到U盘,再恢复到故障电脑。
使用该方法的前提是windows可以启动,只是不太容易登录,比如你也可以通过任务管理器启动explorer.exe,从而显示桌面后再操作。
方法2,使用winpe光盘(比如常见的深山红叶工具光盘、ERD急救光盘等)急救
使用WINPE恢复userinit.exe的完整操作,可以参考这里: http://bbs.duba.net/thread-21843365-1-1.html,本文摘取了最关键的步骤供网友参考。
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
重启后WinPE的启动时间比较长,请耐心等待。如图所示:
进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/Image File Execution Options】下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)
此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon】下,找到里面的Userinit键值,将其数据修改为系统默认的值『C:/WINDOWS/system32/UserInit.exe,』如图所示:
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目 录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:/windows/system32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
方法3,使用windows安装光盘,引导系统到故障恢复控制台,再从安装盘中恢复userinit.exe
有关windows故障恢复控制台的使用方法,参考这里: http://bbs.duba.net/thread-21826218-1-2.html,本文节选了该文的部分关键内容。
windows安装光盘引导至
按R,选择启动到故障恢复控制台
如果是双系统,会显示两个windows的路径,选一个正确的就可以了。需要输入管理员口令,这个口令安装这个系统的人应该是清楚的,如果不知道,尝试下直接回车,估计不少人是空口令。
执行expand D:/i386/USERINIT.EX_ C:/windows/sytem32/USERINIT.EXE(这里假设D为光驱盘符,你的系统安装在c盘windows目录。)
扫一扫
1320
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
