userinit.exe损坏导致XP系统反复注销的处理方案
一直以来病毒和恶意软件最喜欢拿我们脆弱的系统和我们对电脑操作极为单纯的用户来开恶意的玩笑,xp系统反复注销的现象就是其中之一。
[/size]
[size=10.5pt]本文简单介绍一下此类现象的处理方法,希望对一些用户有所帮助。[/color]
[/size]
[size=5]首先导致此类现象的原因主要有两种:[/size]
[size=5]一:系统默认的userinit注册表值被修改,userinit.exe文件被替换。[/size]
[size=5]二:病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe
[/size]
[size=5]
[color=red]处理思路:修改注册表,替换正常的userinit.exe[/size]
[size=5]由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘引导的方式修正此现象。[/size]
[size=5]
[/color]
[color=sienna]关于winpe的简单介绍参考百度百科:http://baike.baidu.com/view/27468.htm[/size]
[size=5]
首先按delete键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:[/size]
001.png (13.61 KB)
2008-1-16 11:59
[size=5]重启后WinPE的启动时间比较长,请耐心等待。如图所示:[/size]
002.png (3.3 KB)
2008-1-16 11:59
[size=5]进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下[/size]
[size=5]找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销)[/size]
003.png (31.05 KB)
2008-1-16 11:59
[size=5]此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下[/size]
[size=5]找到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图所示:[/size]
004.png (41.4 KB)
2008-1-16 11:59
[size=5]接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘) 如图所示:[/size]
005.png (51.34 KB)
2008-1-16 11:59
[size=5]如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:[/size]
006.png (42.47 KB)
2008-1-16 11:59
[size=5]当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)[/color][/size]
[size=5]
此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
附件中是进入系统后处理全部病毒文件的批处理(适用于系统盘为C盘,有非系统分区D或者E盘,分区无卷标的用户。全部解压后运行里面的Fix_Userinit.bat。)
[color=#ff0000] [attach]24331[/attach]
[
本帖最后由 当鱼爱上风 于 2008-1-25 15:13 编辑 ]
- #1 当鱼爱上风 发表评论于:2008-1-25 15:17
- 在你找不到winpe光盘时,你可以使用局域网中其它计算机完成修复。
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。
步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。
- #2 当鱼爱上风 发表评论于:2008-1-25 15:18
- 注册表没被修改,system32里的userinit.exe丢失,全盘查毒未发现病毒。
方法是用系统安装盘(非自动安装),按提示按“R ”进入控制台后,输入copy[空格]c:\windows\userinit.exe[空格]c:\windows\system32\userinit.exe
“c:\windows”为系统安装目录,请自行修改,“c:\windows\userinit.exe”用各种方法查找均不存在,实际为控制台启动后,进入假DOS命令提示符时,从光盘系统安装盘拷贝到系统目录下的临时文件,所以仅在进入控制台时可查到,文件为刚创建的,所以无毒,安全。
另外情况比较特殊的,注册表未被修改,如果本访法施行后不可用,说明注册表被改,根据病毒定名现状来看,一般重命名为userinit32.exe
据此,可重复执行上述命令进入控制台,输入以下命令:
copy[空格]c:\windows\system32\userinit.exe[空格]userinit32.exe
即可。
重启后杀毒,并在“开始”——“运行”输入:regedit
找到注册表:HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows NT\Current Version\winlogon下的userinit值,改为默认的C:\WINDOWS\system32\UserInit.exe
