如果您在HijackThis的掃描日志中發(fā)現(xiàn)了F2項(xiàng)并進(jìn)行了修復(fù)，一旦因?yàn)槟承┰�因想要反悔，�?qǐng)“不要”使用HijackThis的恢復(fù)功能來(lái)取消對(duì)F2項(xiàng)目的修改（我指的是config菜單——Backups菜單——Restore功能），因?yàn)閾?jù)報(bào)告HijackThis在恢復(fù)對(duì)F2項(xiàng)的修改時(shí)，可能會(huì)錯(cuò)誤地修改注

所以，如果您在HijackThis的掃描日志中發(fā)現(xiàn)了類(lèi)似下面的F2項(xiàng)并進(jìn)行了修復(fù)，一旦因?yàn)槟承┰�因想要反悔，�?qǐng)手動(dòng)修改上面提到的UserInit鍵值（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit）
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過(guò)，說(shuō)實(shí)話，在我的記憶中我從沒(méi)有處理過(guò)含有F2項(xiàng)的HijackThis掃描日志。

1. 項(xiàng)目說(shuō)明

F - ini文件中的自動(dòng)運(yùn)行程序或者注冊(cè)表中的等價(jià)項(xiàng)目
F0 - ini文件中改變的值，system.ini中啟動(dòng)的自動(dòng)運(yùn)行程序
F1 - ini文件中新建的值，win.ini中啟動(dòng)的自動(dòng)運(yùn)行程序
F2 - 注冊(cè)表中system.ini文件映射區(qū)中啟動(dòng)的自動(dòng)運(yùn)行程序或注冊(cè)表中UserInit項(xiàng)后面啟動(dòng)的其它程序
F3 - 注冊(cè)表中win.ini文件映射區(qū)中啟動(dòng)的自動(dòng)運(yùn)行程序

F0和F1分別對(duì)應(yīng)system.ini和win.ini文件中啟動(dòng)的自動(dòng)運(yùn)行程序。
F0對(duì)應(yīng)在System.ini文件中“Shell=”這一項(xiàng)（沒(méi)有引號(hào)）后面啟動(dòng)的額外程序。在Windows 9X中，System.ini里面這一項(xiàng)應(yīng)該是
Shell=explorer.exe
這一項(xiàng)指明使用explorer.exe作為整個(gè)操作系統(tǒng)的“殼”，來(lái)處理用戶的操作。這是默認(rèn)的。如果在explorer.exe后面加上其它程序名，該程序在啟動(dòng)Windows時(shí)也會(huì)被執(zhí)行，這是木馬啟動(dòng)的方式之一（比較傳統(tǒng)的啟動(dòng)方式之一）。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動(dòng)Windows時(shí)也被自動(dòng)執(zhí)行。
F1對(duì)應(yīng)在win.ini文件中“Run=”或“Load=”項(xiàng)（均沒(méi)有引號(hào)）后面啟動(dòng)的程序。這些程序也會(huì)在啟動(dòng)Windows時(shí)自動(dòng)執(zhí)行。通常，“Run=”用來(lái)啟動(dòng)一些老的程序以保持兼容性，而“Load=”用來(lái)加載某些硬件驅(qū)動(dòng)。
F2和F3項(xiàng)分別對(duì)應(yīng)F0和F1項(xiàng)在注冊(cè)表中的“映像”。在Windows NT、2000、XP中，通常不使用上面提到的system.ini和win.ini文件，它們使用一種稱作IniFileMapping（ini文件映射）的方式，把這些ini文件的內(nèi)容完全放在注冊(cè)表里。程序要求這些ini文件中的相關(guān)信息時(shí)，Windows會(huì)先到注冊(cè)表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這里查找需要的內(nèi)容，而不是去找那些ini文件。F2/F3其實(shí)和F0/F1相類(lèi)似，只不過(guò)它們指向注冊(cè)表里的ini映像。另外有一點(diǎn)不同的是，F(xiàn)2項(xiàng)中還報(bào)告下面鍵值處額外啟動(dòng)的程序
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處默認(rèn)的鍵值是(注意后面有個(gè)逗號(hào))
C:\WINDOWS\system32\userinit.exe,
（根據(jù)您的Windows版本和安裝目錄的不同，路徑里的“C”和“windows”可能不盡相同，總之這里默認(rèn)指向%System%\userinit.exe
%System%指的是系統(tǒng)文件目錄
對(duì)于NT、2000，該鍵值默認(rèn)為X:\WINNT\system32\userinit.exe
對(duì)于XP，該鍵值默認(rèn)為X:\WINDOWS\system32\userinit.exe
這里的X指的是Windows安裝到的盤(pán)的盤(pán)符。此問(wèn)題后面不再重復(fù)解釋了。）
這個(gè)鍵值是Windows NT、2000、XP等用來(lái)在用戶登錄后加載該用戶相關(guān)信息的。如果在這里添加其它程序（在該鍵值中userinit.exe后的逗號(hào)后面可以添加其它程序），這些程序在用戶登錄后也會(huì)被執(zhí)行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個(gè)程序也會(huì)在用戶登錄后自動(dòng)執(zhí)行。這也是木馬等啟動(dòng)的方式之一。

總之，F(xiàn)項(xiàng)相關(guān)的文件包括
c:\windows\system.ini
c:\windows\win.ini
（根據(jù)您的Windows版本和安裝目錄的不同，路徑里的“C”和“windows”可能不盡相同，總之這里指的是%windows%目錄下的這兩個(gè)ini文件
%Windows%目錄指的是Windows安裝目錄
對(duì)于NT、2000，Windows安裝目錄為X:\WINNT\
對(duì)于XP，Windows安裝目錄為X:\WINDOWS\
這里的X指的是Windows安裝到的盤(pán)的盤(pán)符。此問(wèn)題后面不再重復(fù)解釋了。）
F項(xiàng)相關(guān)的注冊(cè)表項(xiàng)目包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例

F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中，在system.ini文件中，默認(rèn)的Shell=Explorer.exe后面又啟動(dòng)了一個(gè)trojan.exe，這個(gè)trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中，在win.ini文件中，啟動(dòng)了hpfsched這個(gè)程序，需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中，UserInit項(xiàng)（說(shuō)明見(jiàn)上）中額外啟動(dòng)了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實(shí)相當(dāng)于第一個(gè)例子F0 - system.ini: Shell=Explorer.exe trojan.exe，在注冊(cè)表中的system.ini文件“映像”中，額外啟動(dòng)了trojan.exe。

3. 一般建議

基本上，F(xiàn)0提示的Explorer.exe后面的程序總是有問(wèn)題的，一般應(yīng)該修復(fù)。
F1后面的需要慎重對(duì)待，一些老的程序的確要在這里加載。所以應(yīng)該仔細(xì)看看加載的程序的名字，在電腦上查一下，網(wǎng)上搜一搜，具體問(wèn)題具體分析。
對(duì)于F2項(xiàng)，如果是關(guān)于“Shell=”的，相當(dāng)于F0的情況，一般應(yīng)該修復(fù)。如果是關(guān)于“UserInit=”的，除了下面的“疑難解析”中提到的幾種情況另作分析外，一般也建議修復(fù)。但要注意，一旦修復(fù)了關(guān)于“UserInit=”的F2項(xiàng)，請(qǐng)不要使用HijackThis的恢復(fù)功能恢復(fù)對(duì)這一項(xiàng)的修改，這一點(diǎn)上面著重提到了。當(dāng)然，您也可以利用“UserInit=”自己設(shè)置一些軟件開(kāi)機(jī)自啟動(dòng)，這是題外話了，相信如果是您自己設(shè)置的，您一定不會(huì)誤刪的。

4. 疑難解析

(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項(xiàng)與默認(rèn)情況的區(qū)別了嗎？其實(shí)，這一項(xiàng)之所以被HijackThis報(bào)告出來(lái)，是因?yàn)閬G失了鍵值最后的一個(gè)逗號(hào)。但這并不是真正的問(wèn)題，可以不予理會(huì)。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent，這一項(xiàng)出現(xiàn)在userinit后面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個(gè)比較特別，這是廣告程序BlazeFind干的好事，這個(gè)廣告程序修改注冊(cè)表時(shí)不是把自己的wsaupdater.exe放在userinit的后面，而是直接用wsaupdater.exe替換了userinit.exe，使得注冊(cè)表這一項(xiàng)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從默認(rèn)的
C:\WINDOWS\system32\userinit.exe,
變?yōu)?br>C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程序，重啟動(dòng)后可能會(huì)造成用戶無(wú)法登錄系統(tǒng)。這時(shí)需要使用光盤(pán)或者軟盤(pán)啟動(dòng)，將userinit.exe復(fù)制一份，命名為wsaupdater.exe放在同一目錄下，以使得系統(tǒng)能夠正常登錄，然后將上面所述的注冊(cè)表中被廣告程序修改的鍵值恢復(fù)默認(rèn)值，再刪除wsaupdater.exe文件。
該問(wèn)題存在于Ad-aware 6 Build 181，據(jù)我所知，HijackThis可以正常修復(fù)這一項(xiàng)。
具體信息清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html