讲述内容：遇到一台进入桌面后没有启动explorer.exe的系统，在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序，重启后，在进入桌面时被强制登出，在安全模式下情况一样。使用ERD（Emergency Repair Disk Commander）启动，再次查看注册表Userinit项，发现Userinit.exe的路径路径不正确，修改为正确的路径后（C:\Windows\System32\Userinit.exe），重启，系统恢复正常。

关键点：

（1）当用户输入用户名和密码后，负责登录的系统进程WinLogon将用户名和密码发给负责安全认证的另一个系统进程LSASS

（2）LSASS调用验证模块对用户名和密码进行验证，如果通过，则创建一个访问令牌对象。