Windows XP系統(tǒng)出現(xiàn)反復(fù)注銷(xiāo)現(xiàn)象���,由于幾乎在同一時(shí)間,如此多用戶反映同一問(wèn)題����,此事引起了金山毒霸全球反病毒監(jiān)測(cè)中心的高度重視�����,并第一時(shí)間聯(lián)系遭遇該問(wèn)題的用戶��,立即派反病毒工程師前往提取樣本�����,目前病毒樣本正在分析處理過(guò)程中���。
金山毒霸反病毒專(zhuān)家戴光劍表示,雖然目前還沒(méi)有最后確認(rèn)是什么病毒導(dǎo)致了用戶的XP系統(tǒng)出現(xiàn)反復(fù)注銷(xiāo)現(xiàn)象�,但導(dǎo)致此類(lèi)問(wèn)題的原因主要有兩個(gè):1、系統(tǒng)默認(rèn)的userinit注冊(cè)表值被修改���,userinit.exe文件被替換�����。2��、病毒以及惡意軟件利用了映像劫持技術(shù)劫持了userinit.exe����。
一直以來(lái)病毒以及惡意軟件對(duì)電腦操作系統(tǒng)的攻擊就沒(méi)有停止過(guò),xp系統(tǒng)反復(fù)注銷(xiāo)的現(xiàn)象就是其中之一��。據(jù)了解�,2005年,msn性感雞發(fā)作的時(shí)候就曾出現(xiàn)過(guò)類(lèi)似的現(xiàn)象����。
為了幫助遇到類(lèi)似問(wèn)題的用戶及早解決問(wèn)題,金山毒霸反病毒工程師推出了該問(wèn)題的解決方案:
處理思路:修改注冊(cè)表�����,替換正常的userinit.exe����。由于正常模式和安全模式都無(wú)法進(jìn)入,所以我們需要考慮其他引導(dǎo)方式修復(fù)�。Dos命令行的方式修改注冊(cè)表和替換文件對(duì)于一般用戶來(lái)說(shuō)過(guò)于復(fù)雜,故此我們僅介紹使用WinPE盤(pán)引導(dǎo)的方式修正此現(xiàn)象��。
首先按delete鍵進(jìn)入BIOS確認(rèn)當(dāng)前的啟動(dòng)方式是否為光盤(pán)啟動(dòng)����。按+修改第一啟動(dòng)為光驅(qū),并且按F10鍵保存后退出重啟�。如圖可以看到病毒將userinit.exe劫持到不存在的文件上面會(huì)導(dǎo)致XP系統(tǒng)反復(fù)注銷(xiāo)。
HKEY_LOCAL_MACHINE“Software“Microsoft“Windows NT“CurrentVersion“Winlogon
下找到里面的Userinit鍵值���,將其數(shù)據(jù)修改為系統(tǒng)默認(rèn)的值『C:“WINDOWS“system32“UserInit.exe�,』如圖(4)所示:
接下來(lái)我們需要將WinPE盤(pán)里面的userinit.exe文件替換系統(tǒng)目錄下的文件����,以便確保不是病毒修改替換過(guò)的文件。方法是瀏覽光驅(qū)找到I386目錄下system32目錄�����,右鍵單擊userinit.exe文件后選擇『復(fù)制到』���,將默認(rèn)路徑X:“windows“system32輸入對(duì)話框中如圖(5)所示:
如果在系統(tǒng)目錄下存在userinit.exe文件的話�����,會(huì)有如下提示�。建議是以避免之前文件被病毒修改���。如圖(6)所示:
當(dāng)注冊(cè)表修改和文件替換均完成后重啟計(jì)算機(jī)�����,反復(fù)注銷(xiāo)的現(xiàn)象即可解決�。(注意取出WinPE光盤(pán),以避免之后反復(fù)進(jìn)入WinPE系統(tǒng))
注明:此方法僅供遇到此類(lèi)現(xiàn)象的人士參考處理�����,系統(tǒng)沒(méi)有此問(wèn)題的用戶請(qǐng)不要模仿類(lèi)似操作���。
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷(xiāo)知識(shí)
常見(jiàn)技術(shù)問(wèn)題
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)
