科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道WinXP反复重启 疑userinit遭破坏(2)

WinXP反复重启 疑userinit遭破坏(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

11月6日上午,金山毒霸客户服务中心陆续接到20几位用户的咨询电话,咨询者均反映同一个问题:Windows XP系统出现反复注销现象。

作者:论坛整理 来源:zdnet网络安全 2007年12月10日

关键字: userinit.exe病毒 userinit.exe是什么 userinit.exe下载 userinit.exe进程 userinit.exe userinit.exe专杀

  • 评论
  • 分享微博
  • 分享邮件

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

  下找到userinit.exe项将其删除,从截图(3)可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销。

  此步操作可能没有找到病毒劫持的user.exe项目,接下来定位到注册表项

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

  下找到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图(4)所示:

  接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘)如图(5)所示:

  如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图(6)所示:
  

图(6)



  当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)

  注明:此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都具备,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。

  windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。

  步骤:

  1.单击开始,运行,输入regedit,打开注册表编辑器。

  2.单击文件菜单,连接网络注册表。

  3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。

  接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用Windows安装光盘启动后进行快速修复,以还原这个userinit.exe。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章