userinit异常全面解决方案.doc

userinit.exe异常的全面解决方案关于userinit.exe文件名: userinit.exe发行者: Microsoft Corporation数字签名方: Microsoft Windows Verification PCA启动类型: 注册表路径:%system%userinit.exe位置: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionwinlogonuserinit描述：Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失就有可能是木马程序，当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改，可能出现windows系统不能正常登录或输入登录用户名、口令后系统立即注销，再次尝试登录，又会再次注销。异常的userinit当userinit.exe被病毒替换，或注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon键下userinit的正常值C:WINDOWSsystem32UserInit.exe被修改，系统就可能出现登录异常。表现为：win登录时，反复注销，或者无法启动到windows桌面，按ctrl+alt+del，调出任务管理器，通过任务管理器启动explorer.exe，反而可以启动到桌面。此时，使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象，很可能与木马下载器、机器狗等有关，使用金山清理专家或金山毒霸会检测到更多病毒或木马。解决方案：金山清理专家可以修复异常的userinit破坏的注册表键，但不能修复被病毒破坏的userinit.exe文件。因为，金山清理专家不可以复制传播未经知识产权所有人（对“异常的userinit”来说，指微软公司）授权的程序。这种情况下，我们有几种方法来修复被破坏的userinit.exe。如果你发现此文，你一定不需要重装系统，顺便BS一下遇事就重装的 修复异常的userinit，首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净，最后再修复userinit.exe。方法1,从其它正常的电脑把%system%userinit.exe复制到U盘，再恢复到故障电脑。使用该方法的前提是windows可以启动，只是不太容易登录，比如你也可以通过任务管理器启动explorer.exe，从而显示桌面后再操作。方法2,使用winpe光盘（比如常见的深山红叶工具光盘、ERD急救光盘等）急救使用WINPE恢复userinit.exe的完整操作，可以参考这里：/thread-21843365-1-1.html，本文摘取了最关键的步骤供网友参考。首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：下载 (13.61 KB)2008-1-16 12:49重启后WinPE的启动时间比较长，请耐心等待。如图所示：下载 (3.3 KB)2008-1-16 12:49进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options】下找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在文件上面会导致XP系统反复注销）下载 (31.05 KB)2008-1-16 12:49此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon】下，找到里面的Userinit键值，将其数据修改为系统默认的值C:WINDOWSsystem32UserInit.exe,如图所示：下载 (41.4 KB)2008-1-16 12:49接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目 录下system32目录，右键单击userinit.exe文件后选择复制到，将默认路径X:windowssystem32输入对话框中(X 为系统盘符，通常为C盘) 如图所示：下载 (51.34 KB)2008-1-16 12:49如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：下载 (42.47 KB)2008-1-16 12:49当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）方法3,使用windows安装光盘，引导系统到故障恢复控制台，再从安装盘中恢复userinit.exe有关windows故障恢复控制台的使用方法，参考这里：/thread-21826218-1-2.html，本文节选了该文的部分关键内容。windows安装光盘引导至按R，选择启动到故障恢复控制台如果是双系统，会显示两个windows的路径，选一个正确的就可以了。需要输入管理员口令，这个口令安装这个系统的人应该是清楚的，如果不知道，尝试下直接回车，估计不少人是空口令。执行expand D:i386USERINIT.EX_ C:windowssytem32USERINIT.EXE（这里假设D为光驱盘符，你的系统安装在c盘windows目录。）爱毒霸社区独家发布userinit异常的修复工具感谢Antivirus、水中雁二位完成开发RAR包的MD5值：a269c543bbb7b743d1c3fa3ae59c4b9d解包后的EXE文件MD5值:1d35551fd6196d06afb014f9ca044697FixUserinit.rar (41.38 KB) MD5值：a269c543bbb7b743d1c3fa3ae59c4b9d下载次数: 336342008-1-17 11:47修复工具执行后是命令行界面，点y，即可开始修复。下载 (13.19 KB)2008-1-17 11:47MD5计算器供用户参考HashCalc.rar (147.1 KB) MD5计算器下载次数: 78352008-1-17 11:47请核对无误，避免被人修改本文最后提供两个附件，分别是winxp和win2003的userinit.exe，如果你找不到现成的正常文件替换，直接下载一个解压到故障电脑的windowssystem32目录覆盖受损文件userinit_winxp.rar (11.64 KB) 下载次数: 407752008-1-16 12:49userinit_win2003.rar (11.06 KB) 下载次数: 50062008-1-16 12:49首先导致此类现象的原因主要有两种:一：系统默认的userinit注册表值被修改，userinit.exe文件被替换。二：病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe处理思路：修改注册表，替换正常的userinit.exe由于正常模式和安全模式都无法进入，所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂，故此我们仅介绍使用WinPE盘引导的方式修正此现象。关于winpe的简单介绍参考百度百科：/view/27468.htm首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：attach16096762/attach重启后WinPE的启动时间比较长，请耐心等待。如图所示：attach16096763/attach进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options】下找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon】下找到里面的Userinit键值，将其数据修改为系统默认的值C:WINDOWSsystem32UserInit.exe,如图所示：attach16096765/attach接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择复制到，将默认路径X:windowssystem32输入对话框中(X为系统盘符，通常为C盘) 如图所示：attach16096766/attach如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：attach16096767/attach当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。附件中是进入系统后处理全部病毒文件的批处理(适用于系统盘为C盘，有非系统分区D或者E盘，分区无卷标的用户。全部解压后运行里面的Fix_Userinit.bat。)我补充一个方法，在你找不到winpe光盘时，你可以使用局域网中其它计算机完成修复。windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。步骤：1.单击开始，运行，输入regedit，打开注册表编辑器。2.单击文件菜单，连接网络注册表3.输入远程计算的IP地址或机器名，连接成功后，输入远程计算机的管理员用户名密码。接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。故障恢复控制台是不能从安装光盘COPY这个userinit.exe的吧。故障恢复控制台启动，再进入光盘的windows安装目录，执行expand userinit.ex_ c:windowssystem32userinit.exe有关该病毒的详细分析的报告病毒名：Win32.Troj.BankJp.a.221184这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。1，生成文件：%windir%mshelp.dll%windir%mspw.dll2,添加服务HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespower3，主要危害查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。4，其它危害使用驱动，进行键盘记录，威胁用户财产及隐私安全。5，备份下列文件%system%userinit.exe - %system%dllcachec_20911.nls%windir%notepad.exe - %system%dllcachec_20601.nls%system%calc.exe - %system%dllcachec_20218.nls6，用病毒文件替换下列文件%system%notepad.exe%windir%calc.exe%system%userinit.exe%system%dllcachenotepad.exe%system%dllcachecalc.exe%system%dllcacheuserinit.exe7，会在根目录下创建文件夹RECYCLER.，存放病毒备份。8，删除windows目录下的下列文件notepad.execalc.exeuserinit.exesvchost.exe9，该病毒会自动更新客服PAPA同学编写的批处理，将其保存为.bat文件，拿到有这个问题的机器上，使用任务管理器，点文件菜单，创建新任务，浏览到这个BAT文件，双击运行del /f /s /q /a:- %systemroot%mshelp.dlldel /f /s /q /a:- %systemroot%mspw.dlldel /f /s /q /a:- %HOMEDRIVE%notepad.exedel /f /s /q /a:- %HOMEDRIVE%calc.exedel /f /s /q /a:- %HOMEDRIVE%userinit.exerd /s /q c:RECYCLER.rd /s /q d:RECYCLER.rd /s /q e:RECYCLER.rd /s /q f:RECYCLER.rd /s /q g:RECYCLER.rd /s /q h:RECYCLER.rd /s /q i:RECYCLER.rd /s /q j:RECYCLER.move /y %systemroot%system32dllcachec_20911.nls %systemroot%system32userinit.exemove /y %systemroot%system32dllcachec_20601.nls %systemroot%notepad.exe move /y %systemroot%system32dllcachec_20218.nls %systemroot%system32calc.execopy userinit.exe %systemroot%system32userinit.execopy userinit.exe %systemroot%system32dllcacheuserinit.execopy notepad.exe %systemroot%system32notepad.execopy notepad.exe %systemroot%system32dllcachenotepad.execopy calc.exe %systemroot%system32calc.execopy calc.exe %systemroot%system32dllcachecalc.exe图解系统恢复控制台一、恢复控制台是何许人也？ 开机F8 进入安全模式 ，杀毒.相信不管是菜鸟还是老鸟都小Kiss了，然而有一天我们发现不能进入安全模式了，选择DOS启动，但是大多数的不支持NTFS，还是PE盘我想你一般不会备一张吧。其实我们也许可以试试恢复控制台（Recovery Console）它可以进行这些的操作：读写NTFS对文件删除，复制；禁用或者启动系统服务；修复系统启动错误；替换损坏的系统文件 等等二、如何安装进入恢复控制台 1、我们可以使用光盘直接进入恢复控制台 下载 (12.64 KB)2008-8-5 15:32 下载 (8.84 KB)2008-8-5 15:322、我们还可以把恢复控制台直接安装到硬盘备用 开始-运行输入 D:i386winnt32.exe /cmdcons (D:为光驱盘符，请自行修改)下载 (14 KB)2008-8-5 15:32下载 (25.28 KB)2008-8-5 15:32下载 (29.31 KB)2008-8-5 15:3 下载 (30.39 KB)2008-8-5 15:32 下载 (19.7 KB)2008-8-5 15:32下载 (7.2 KB)2008-8-5 15:32说明：如何更改启动等待时间（如下图）下载 (66.62 KB)2008-8-5 15:32三、实例讲解恢复控制台的常用命令（更多介绍请到参考资料的链接去查看）（1）实例：Boot.ini 非法、或者启动菜单丢失 解决：可以通过bootcfg/add重新构建启动项目 （加载识别符：可以输入 windows xp 或者其他你喜欢的名称 OS加载选项：可以输入 fastdetect） BOOTCFG（此命令用于启动配置与恢复）命令格式和参数 bootcfg /add：将 Windows 安装添加到启动菜单列表中。 /rebuild：重复所有 Windows 安装，以便您可以指定要添加的安装。 /scan：在所有磁盘上扫描 Windows 安装并显示结果，以便您可以指定要添加的安装。 /default：设置默认启动选项。 /list：列出已经在启动菜单列表中的项。 /disableredirect：禁用启动加载器中的重定向。 /redirect：使用指定的配置启用启动加载器中的重定向。（2）实例：NTLDR IS MISSING. 解决：这种情况一般是NTLDR损坏或者丢失造成，可以通过copy好的文件覆盖即可 Copy D:i386NTLDR C：（D盘为光驱盘符。可以通过map命令查看硬盘的盘符）命令格式 copy sourcedestination 说明：在命令语法中，source 指定要复制的文件，destination 指定新文件的文件夹名或文件名。不能使用通配符 (*)，而且不能复制文件夹。如果从 Windows CD-ROM 复制压缩文件，复制时会自动对文件解压缩。（3）实例：系统关键服务被禁用，而在正常模式，安全模式都不能启动，俺以前碰到的是【Remote Procedure Call (RPC)服务异常被禁用】 解决：通过恢复控制的listsvc 和enable命令解决了 Listsvc 查看RPC的服务名 Enable RpcSsSERVICE_AUTO_START 启用该服务 LISTSVC 列出所有可用的服务、驱动程序以及它们的当前 Windows 安装的启动类型。此命令和 disable 以及 enable 命令一起使用时是有用的。 注意列表从 %SystemRoot%System32ConfigSystem 配置单元中提取。如果系统单元已损坏或丢失，将出现不可预知的结果。 ENABLE命令格式：enable servicename start_type servicename为服务名 start_type 的有效选项是： SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START SERVICE_DEMAND_START（4）实例：Userinit.exe损坏或者丢失造成的系统不能启动问题 解决：expand D:i386USERINIT.EX_ C:windowssytem32USERINIT.EXE(D为光驱盘符) EXPAND（文件解压）格式命令expand source /F:filespec destination /y expand source /F:filespec /D /y：在改写现有文件前不提示。 /f:filespec：标识要展开的文件。 /d：不展开，仅显示源中的文件目录。 说明：如果源中包含一个以上的文件，需要 /f:filespec 参数标识要展开的具体文件。可以包含通配符。使用此命令可展开文件。在命令语法中，source 指定要展开的文件的名称，destination 指定新文件的文件夹。如果没有指定目标，此命令默认为当前文件夹。不能包括通配符。（5）实例：Error loading operating system (操作系统读取错误)/Missing operating system（操作系统丢失） 解决：FIXMBR C: FIXMBR(修复主引导记录)命令格式 fixmbr device name 说明：使用此命令可修复启动分区的主启动记录 (MBR)。在命令语法中，device name 是一个可选的设备名，它指定了需要新 MBR 的设备。当病毒损坏了 MBR，导致 Windows 无法启动时，可以使用此命令。 警告：如果出现病毒或者存在硬件问题，此命令可能损坏分区表。使用此命令可能导致无法访问分区。Microsoft 建议您在使用此命令之前运行防病毒软件。（6）实例：Disk error Press key torestart 解决：FIXBOOT C: FIXBOOT(修复分区引导记录) 命令格式 fixboot drive name： 说明：使用此命令可在系统分区上写入新的 Windows 启动扇区代码。在命令语法中，drive name 是启动扇区将写入的驱动器号。此命令修复 Windows 启动扇区中的损坏。此命令重写系统启动分区的写入默认值。FIXBOOT 仅在基于 x86 的计算机上受支持。警告：如果出现病毒或者存在硬件问题，此命令可能损坏分区表。使用此命令可能导致无法访问分区。Microsoft 建议您在使用此命令之前运行防病毒软件。四、附录、突破恢复控制台目