XP系统反复注销的解决办法

XP系统反复注销的处理方案

首先导致此类现象的原因主要有两种:
一：系统默认的userinit注册表值被修改，userinit.exe文件被替换。
二：病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe


处理思路：修改注册表，替换正常的userinit.exe
由于正常模式和安全模式都无法进入，所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂，故此我们仅介绍使用WinPE盘引导的方式修正此现象。

关于winpe的简单介绍参考：http://softbbs.zol.com.cn/1/67_902.html

首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。

重启后WinPE的启动时间比较长，请耐心等待。

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：

【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options】下
找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）


此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon】下
找到里面的Userinit键值，将其数据修改为系统默认的值『C:WINDOWSsystem32UserInit.exe,』


接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择『复制到』，将默认路径X:windowssystem32输入对话框中(X为系统盘符，通常为C盘)

如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。

当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）

铁军：我补充一个方法，在你找不到winpe光盘时，你可以使用局域网中其它计算机完成修复。

windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。

步骤：
1.单击开始，运行，输入regedit，打开注册表编辑器。
2.单击文件菜单，连接网络注册表
3.输入远程计算的IP地址或\机器名，连接成功后，输入远程计算机的管理员用户名密码。

接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。


sp1lly：小补充一下：……昨天刚中完，但是注册表没被修改，system32里的userinit.exe丢失，全盘查毒未发现病毒。
我的方法是用系统安装盘（非自动安装），按提示按“R ”进入控制台后，输入copy[空格]c:windowsuserinit.exe[空格]c:windowssystem32userinit.exe
“c:windows”为系统安装目录，请自行修改，“c:windowsuserinit.exe”用各种方法查找均不存在，实际为控制台启动后，进入假DOS命令提示符时，从光盘系统安装盘拷贝到系统目录下的临时文件，所以仅在进入控制台时可查到，文件为刚创建的，所以无毒，安全。
另外本人的情况比较特殊，注册表未被修改，如果本访法施行后不可用，说明注册表被改，根据病毒定名现状来看，一般重命名为userinit32.exe
据此，可重复执行上述命令进入控制台，输入以下命令：
copy[空格]c:windowssystem32userinit.exe[空格]userinit32.exe
即可。
重启后杀毒，并在“开始”——“运行”输入：regedit
找到注册表：HKEY_LOCAL_MACHINESOFTWAREmicrosoftwindows NTCurrent Versionwinlogon下的userinit值，改为默认的C:WINDOWSsystem32UserInit.exe

铁军：故障恢复控制台是不能从安装光盘COPY这个userinit.exe的吧。
故障恢复控制台启动，再进入光盘的windows安装目录，执行
append userinit.ex_ c:windowssystem32userinit.exe

有关该病毒的详细分析的报告

病毒名：Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。
1，生成文件：
%windir%mshelp.dll
%windir%mspw.dll
2,添加服务
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicespower
3，主要危害
查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。
4，其它危害
使用驱动，进行键盘记录，威胁用户财产及隐私安全。
5，备份下列文件
%system%userinit.exe -> %system%dllcachec_20911.nls
%windir%notepad.exe -> %system%dllcachec_20601.nls
%system%calc.exe -> %system%dllcachec_20218.nls
6，用病毒文件替换下列文件
%system%notepad.exe
%windir%calc.exe
%system%userinit.exe
%system%dllcachenotepad.exe
%system%dllcachecalc.exe
%system%dllcacheuserinit.exe
7，会在根目录下创建文件夹RECYCLER..，存放病毒备份。
8，删除windows目录下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
9，该病毒会自动更新。