11月6日上午,金山毒霸客户服务中心陆续接到20几位用户的咨询电话,咨询者均反映同一个问题:Windows XP系统出现反复注销现象。由于几乎在同一时间,如此多用户反映同一问题,此事引起了金山毒霸全球反病毒监测中心的高度重视,并第一时间联系遭遇该问题的用户,立即派反病毒工程师前往提取样本,目前病毒样本正在分析处理过程中。
IXPUB技术博客�d�V�`({-S;H f�a�~
IXPUB技术博客�p3\
U8|�r
金山毒霸反病毒专家戴光剑表示,虽然目前还没有最后确认是什么病毒导致了用户的XP系统出现反复注销现象,但导致此类问题的原因主要有两个:1、系统默认的userinit注册表值被修改,userinit.exe文件被替换。2、病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe。
�J(M2Y�_7T-]�^
P7590422
IXPUB技术博客�_#C*y3_�x
一直以来病毒以及恶意软件对电脑操作系统的攻击就没有停止过,xp系统反复注销的现象就是其中之一。据了解,2005年,MSN性感鸡发作的时候就曾出现过类似的现象。
�c-o�w�P'E7590422
IXPUB技术博客�I�k�e�V+]
h6A)?�p
为了帮助遇到类似问题的用户及早解决问题,金山毒霸反病毒工程师推出了该问题的解决方案:
IXPUB技术博客*U+O'E�j
f0B$O5z�A
IXPUB技术博客�d�d4v'f�G�m6f�t�g6c
处理思路:修改注册表,替换正常的userinit.exe。由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘引导的方式修正此现象。(关于winpe的简单介绍参考百度百科:
http://baike.baidu.com/view/27468.htm)
IXPUB技术博客�O"l�x�i�r�N&_
C
IXPUB技术博客!j%_�{�h�j6c
G�H \
首先按delete键进入BIOS确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出重启。
IXPUB技术博客�L)x s�l�~&t#X
IXPUB技术博客"M�Z%X%i�\%c
11月6日上午,金山毒霸客户服务中心陆续接到20几位用户的咨询电话,咨询者均反映同一个问题:Windows XP系统出现反复注销现象。由于几乎在同一时间,如此多用户反映同一问题,此事引起了金山毒霸全球反病毒监测中心的高度重视,并第一时间联系遭遇该问题的用户,立即派反病毒工程师前往提取样本,目前病毒样本正在分析处理过程中。
:H4n�F�r
t�^7590422
�O�N�n�h�t�x8J�K#~7590422
金山毒霸反病毒专家戴光剑表示,虽然目前还没有最后确认是什么病毒导致了用户的XP系统出现反复注销现象,但导致此类问题的原因主要有两个:1、系统默认的userinit注册表值被修改,userinit.exe文件被替换。2、病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe。
IXPUB技术博客�`/p+{�_�z�R
IXPUB技术博客�I)I�~"o
t�K/`�}
g�y
一直以来病毒以及恶意软件对电脑操作系统的攻击就没有停止过,xp系统反复注销的现象就是其中之一。据了解,2005年,MSN性感鸡发作的时候就曾出现过类似的现象。
�l.}4O,l�s7590422
IXPUB技术博客�L�U�Q'z%k�f
为了帮助遇到类似问题的用户及早解决问题,金山毒霸反病毒工程师推出了该问题的解决方案:
.b�L�{�S/B�y7590422
IXPUB技术博客�d�G�}�C�w�z/\ k
处理思路:修改注册表,替换正常的userinit.exe。由于正常模式和安全模式都无法进入,所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂,故此我们仅介绍使用WinPE盘引导的方式修正此现象。(关于winpe的简单介绍参考百度百科:
http://baike.baidu.com/view/27468.htm)
IXPUB技术博客�T9K)L�_*p/U){�N�i
+}�_
r
x�Y'?7590422
首先按delete键进入BIOS确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出重启。
8W�L�J-x�[�}:Q�g�~7590422
R"k�e#\�n�@%d1p7590422
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符。
IXPUB技术博客�I�?�x"f4T;c
^�B4? _,I�U
V,@�n�d�g-E7E"m7590422
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。
IXPUB技术博客�l�g/Y'O�N-h�W
O�I�{0j�Z-}�A!j�r7590422
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
IXPUB技术博客�z
f(t3\3h�i(s @3~�~
注明:此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品,不是每个电脑用户都具备,这里补充另一个方法:你可以使用局域网中其它计算机完成本机的注册表修复。
IXPUB技术博客�R#a�U�B�v#l'F r"V%D�U
IXPUB技术博客�c�s�n�g7]3n:m"R
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭,就只能用winpe了,其它方法更复杂。
"m:]�@,X7q�l�x0T�f7590422
�k0a9W(c�f�X:b7590422
步骤:
�q,Y�~/W9J�z1v7590422
1.单击开始,运行,输入regedit,打开注册表编辑器。
IXPUB技术博客
v�i�e�c�|�b1E#_�Q
2.单击文件菜单,连接网络注册表
�A7j*E:m�o2{1~7590422
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
IXPUB技术博客'Z�]�R�d,h%~
U0t,A,U�~
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏,可以使用windows安装光盘启动后进行快速修复,以还原这个userinit.exe。
LivePUB
发布于2007-11-08 20:55:21
meng-jljl发布于2007-11-08 22:17:05
