XP系统反复注销！病毒困扰大量用户

    11月8日，来自金山毒霸全球反病毒监测中心最新消息，近日，造成大量Windows XP用户系统反复注销的“真凶”已经落网。经过金山毒霸反病毒专家的仔细分析，一个新网银木马（Win32.Troj.BankJp.a.221184）浮出水面，该病毒可查找“个人银行专业版”的窗口并盗取网银账号密码，给通过网络银行进行网络交易的用户带来很大的威胁。

    金山毒霸反病毒专家戴光剑表示，“这是一个具有破坏性的木马病毒。该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等，从而引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机。”

    金山毒霸全球反病毒监测中心分析报告显示，该木马运行后可生成%windir%\mshelp.dll、%windir%\mspw.dll、%windir%\help.exe等文件，同时在根目录下创建文件夹RECYCLER，存放病毒备份，并删除windows目录下的下列文件notepad.exe、calc.exe、userinit.exe、svchost.exe。

    据了解，该病毒的主要危害在于可查找“个人银行专业版”的窗口，使用驱动，进行键盘记录，并从内存读取账号密码，威胁用户财产安全。戴光剑指出，从目前分析结果来看，该病毒并没有成功攻克“个人银行专业版”，但可以看出，病毒已经对“个人银行专业版”的帐号和密码有所觊觎，广大用户仍需提高警惕。

    为了帮助遇到类似问题的用户及早解决问题，金山毒霸反病毒工程师推出了该问题的解决方案：

    处理思路：修改注册表，替换正常的userinit.exe。由于正常模式和安全模式都无法进入，所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂，故此我们仅介绍使用WinPE盘引导的方式修正此现象。（关于winpe的简单介绍参考百度百科：http://baike.baidu.com/view/27468.htm）

    首先按delete键进入BIOS确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出重启。

    重启后WinPE的启动时间比较长，请耐心等待。

    进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options】下找到userinit.exe项将其删除，从下图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销。

    此步操作可能没有找到病毒劫持的user.exe项目，接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下找到里面的Userinit键值，将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』

    接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择『复制到』，将默认路径X:\windows\system32输入对话框中(X为系统盘符，通常为C盘)。

    如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。

 
    当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）

    注明：此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品，不是每个电脑用户都具备，这里补充另一个方法：你可以使用局域网中其它计算机完成本机的注册表修复。

    windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭，就只能用winpe了，其它方法更复杂。