一直以来病毒和恶意软件最喜欢拿我们脆弱的系统和我们对电脑操作极为单纯的用户来开恶意的玩笑，xp系统反复注销的现象就是其中之一。

本文简单介绍一下此类现象的处理方法，希望对一些用户有所帮助。



首先导致此类现象的原因主要有两种:
一：系统默认的userinit注册表值被修改，userinit.exe文件被替换。
二：病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe


处理思路：修改注册表，替换正常的userinit.exe
由于正常模式和安全模式都无法进入，所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂，故此我们仅介绍使用WinPE盘引导的方式修正此现象。

关于winpe的简单介绍参考百度百科：http://baike.baidu.com/view/27468.htm

首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：
[attach]16096762[/attach]

重启后WinPE的启动时间比较长，请耐心等待。如图所示：
[attach]16096763[/attach]

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下
找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）
[attach]16096764[/attach]

此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下
找到里面的Userinit键值，将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图所示：
[attach]16096765[/attach]

接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择『复制到』，将默认路径X:\windows\system32输入对话框中(X为系统盘符，通常为C盘) 如图所示：
[attach]16096766[/attach]

如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：
[attach]16096767[/attach]

当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）


此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。


附件中是进入系统后处理全部病毒文件的批处理(适用于系统盘为C盘，有非系统分区D或者E盘，分区无卷标的用户。全部解压后运行里面的Fix_Userinit.bat。)
[attach]16065774[/attach]

我补充一个方法，在你找不到winpe光盘时，你可以使用局域网中其它计算机完成修复。

windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。

步骤：
1.单击开始，运行，输入regedit，打开注册表编辑器。
2.单击文件菜单，连接网络注册表
3.输入远程计算的IP地址或\\机器名，连接成功后，输入远程计算机的管理员用户名密码。

接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。

{A8} 小补充一下：……昨天刚中完，但是注册表没被修改，system32里的userinit.exe丢失，全盘查毒未发现病毒。
我的方法是用系统安装盘（非自动安装），按提示按“R ”进入控制台后，输入copy[空格]c:\windows\userinit.exe[空格]c:\windows\system32\userinit.exe
“c:\windows”为系统安装目录，请自行修改，“c:\windows\userinit.exe”用各种方法查找均不存在，实际为控制台启动后，进入假DOS命令提示符时，从光盘系统安装盘拷贝到系统目录下的临时文件，所以仅在进入控制台时可查到，文件为刚创建的，所以无毒，安全。
另外本人的情况比较特殊，注册表未被修改，如果本访法施行后不可用，说明注册表被改，根据病毒定名现状来看，一般重命名为userinit32.exe
据此，可重复执行上述命令进入控制台，输入以下命令：
copy[空格]c:\windows\system32\userinit.exe[空格]userinit32.exe
即可。
重启后杀毒，并在“开始”——“运行”输入：regedit
找到注册表：HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\windows NT\Current Version\winlogon下的userinit值，改为默认的C:\WINDOWS\system32\UserInit.exe

故障恢复控制台是不能从安装光盘COPY这个userinit.exe的吧。
故障恢复控制台启动，再进入光盘的windows安装目录，执行
expand userinit.ex_ c:\windows\system32\userinit.exe

有关该病毒的详细分析的报告

病毒名：Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。
1，生成文件：
%windir%\mshelp.dll
%windir%\mspw.dll
2,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3，主要危害
查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。
4，其它危害
使用驱动，进行键盘记录，威胁用户财产及隐私安全。
5，备份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls
6，用病毒文件替换下列文件
%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe
7，会在根目录下创建文件夹RECYCLER..，存放病毒备份。
8，删除windows目录下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
9，该病毒会自动更新

客服PAPA同学编写的批处理，将其保存为.bat文件，拿到有这个问题的机器上，使用任务管理器，点文件菜单，创建新任务，浏览到这个BAT文件，双击运行

del /f /s /q /a:- %systemroot%\mshelp.dll
del /f /s /q /a:- %systemroot%\mspw.dll
del /f /s /q /a:- %HOMEDRIVE%\notepad.exe
del /f /s /q /a:- %HOMEDRIVE%\calc.exe
del /f /s /q /a:- %HOMEDRIVE%\userinit.exe
rd /s /q c:\RECYCLER..
rd /s /q d:\RECYCLER..
rd /s /q e:\RECYCLER..
rd /s /q f:\RECYCLER..
rd /s /q g:\RECYCLER..
rd /s /q h:\RECYCLER..
rd /s /q i:\RECYCLER..
rd /s /q j:\RECYCLER..
move /y %systemroot%\system32\dllcache\c_20911.nls %systemroot%\system32\userinit.exe
move /y %systemroot%\system32\dllcache\c_20601.nls %systemroot%\notepad.exe
move /y %systemroot%\system32\dllcache\c_20218.nls %systemroot%\system32\calc.exe
copy userinit.exe %systemroot%\system32\userinit.exe
copy userinit.exe %systemroot%\system32\dllcache\userinit.exe
copy notepad.exe %systemroot%\system32\notepad.exe
copy notepad.exe %systemroot%\system32\dllcache\notepad.exe
copy calc.exe %systemroot%\system32\calc.exe
copy calc.exe %systemroot%\system32\dllcache\calc.exe

我系统是让别人帮做的，没有启动盘，也没有联机。是不是修不了？
还有，我这个电脑装的时候留了系统备份。重新恢复是不是也行？

{78} 有备份恢复一下也可以呀

学习收藏了

好东西，收藏！{A8}

很不幸运，我今天也中招了．



我的情况是这样的：
中毒后用毒霸杀毒，可在中间卡住，不查杀了，于是我直接关电源重启．（幸好把这个提示网址记下了．．．）
重启后就进不去了．

没办法，菜鸟一个，只有恢复镜像．我在恢复前把在用的系统备存了一份．

现在正在用以前的备份的系统文件来上网，虽然无太大问题，但这个备份是２００４年８月１日的啊！！！
和现在的系统是天壤之别！！！重新弄又很麻烦．


我现在想问问是否可以将正常的userinit文件覆盖我出了问题的镜像．
可以的话要怎样弄？

先谢了．

请问为什么我在局域网内不能远程局域网中电脑的注册表，如果想操作的话要开启哪些东西，可以说详细点吗？谢谢！

想问下既然不能登陆到桌面，批处理文件可以用的上吗？请问是不是也是在PE系统中操作啊！！

[ 本帖最后由 zougonghua 于 2007-11-15 10:27 编辑 ]

我有备份可是怎么恢复啊?`我是新手............

我有备份可是怎么恢复啊?`我是新手............

请问我用winpe光盘启动系统,然后打开注册表编辑工具,可是显示的是winpe的注册表内容,并不是我中毒机器硬盘上的注册表啊.如何切换过去啊

麻烦铁军老师给解答一下,为什么我在pe下,打开注册表编辑程序,只能显示pe的注册表内容,如何切换到中毒电脑的注册表呢

vista 的系统也可以这样恢复吗?我的也出现这种情况.开机后不能显示桌面.请帮忙.谢谢!

vista 的系统也可以这样恢复吗?我的也出现这种情况.开机后不能显示桌面.请帮忙.谢谢!

今天运气好.....偶也中了..但上诉3样偶家都没有该怎么办{6D} {69} {17}

谁有这文件啊。。。。{7E(2)}

    该死的病毒！

俺的电脑也幸运的被AUTO给亲了一下。C盘不仅有USERINIT.EXE，还多了一个USERINIT.EXE-30B18140.pf,用上在那个BAT运行了一下,USERINIT.EXE没了,多出的那个还在,病毒仍然在欢快的奔跑着,CPU运行100%,系统没有备份,也没有WINPE盘,重装系统有没有用?有没有其他方法可以解决,帮帮忙,谢谢!{7E(2)}