Windows XP系統出現反復注銷現象,由於幾乎在同一時間,如此多用戶反映同一問題,此事引起了金山毒霸全球反病毒監測中心的高度重視,並第一時間聯系遭遇該問題的用戶,立即派反病毒工程師前往提取樣本,目前病毒樣本正在分析處理過程中。
金山毒霸反病毒專家戴光劍表示,雖然目前還沒有最後確認是什麼病毒導致了用戶的XP系統出現反復注銷現象,但導致此類問題的原因主要有兩個:1、系統默認的userinit注冊表值被修改,userinit.exe文件被替換。2、病毒以及惡意軟件利用了映像劫持技術劫持了userinit.exe。
一直以來病毒以及惡意軟件對電腦操作系統的攻擊就沒有停止過,xp系統反復注銷的現象就是其中之一。據了解,2005年,msn性感雞發作的時候就曾出現過類似的現象。
為了幫助遇到類似問題的用戶及早解決問題,金山毒霸反病毒工程師推出了該問題的解決方案:
處理思路:修改注冊表,替換正常的userinit.exe。由於正常模式和安全模式都無法進入,所以我們需要考慮其他引導方式修復。Dos命令行的方式修改注冊表和替換文件對於一般用戶來說過於復雜,故此我們僅介紹使用WinPE盤引導的方式修正此現象。
首先按delete鍵進入BIOS確認當前的啟動方式是否為光盤啟動。按+修改第一啟動為光驅,並且按F10鍵保存後退出重啟。如圖可以看到病毒將userinit.exe劫持到不存在的文件上面會導致XP系統反復注銷。
HKEY_LOCAL_MACHINE“Software“Microsoft“Windows NT“CurrentVersion“Winlogon
下找到裡面的Userinit鍵值,將其數據修改為系統默認的值『C:“WINDOWS“system32“UserInit.exe,』如圖(4)所示:
接下來我們需要將WinPE盤裡面的userinit.exe文件替換系統目錄下的文件,以便確保不是病毒修改替換過的文件。方法是浏覽光驅找到I386目錄下system32目錄,右鍵單擊userinit.exe文件後選擇『復制到』,將默認路徑X:“windows“system32輸入對話框中如圖(5)所示:
如果在系統目錄下存在userinit.exe文件的話,會有如下提示。建議是以避免之前文件被病毒修改。如圖(6)所示:
當注冊表修改和文件替換均完成後重啟計算機,反復注銷的現象即可解決。(注意取出WinPE光盤,以避免之後反復進入WinPE系統)
注明:此方法僅供遇到此類現象的人士參考處理,系統沒有此問題的用戶請不要模仿類似操作。