爱华网今天早晨的工作刚开始,就接到同事反应电脑开机无法登录的电话,查看后发现故障如下:
该机首次开机正常登陆后,杀毒软件卡巴斯基提示有木马被检测出,按其提示删除后,电脑自动重启,windows xp启动至用户登陆界面,输入密码后提示:“正在登陆”,随即提示“正在注销”返回登陆界面处,反复如此。安全模式下也出现同样情况。
查阅资料后确定,该症状是由于病毒将系统文件内userinit.exe文件破坏所致。
Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。正常Userinit.exe程序在系统启动完成后就会自动消失。Userinit.exe也有可能是黑客伪装的木马程序。如果开机后很长时间都未能消失则可能是木马程序,当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改,会出现windows系统反复不能正常登录或输入登录用户名、口令后系统立即注销。
userinit.exe的注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon键下userinit的正常值:C:WINDOWSsystem32UserInit.exe被修改为异常值。
解决方法:
使用系统盘引导,进入故障恢复控制台,运行:expand X:i386userinit.ex_Y:windowssystem32(注:X为光盘所在盘符,Y为系统所以盘符)
或进入windowsPE系统,将该系统内userinit.exe拷到相应的目录下也可以达到同样的效果。
登录进系统后,将userinit.exe的注册表键值恢复到C:WINDOWSsystem32userinit.exe。
也有一种情况是sysytem32下面的kernel32.dll文件丢失或者被损坏,按上述方法做相应替换操作即可。
