手动清除导致XP系统反复重启的木马

欧阳天明

金山毒霸客户服务中心陆续接到20几位用户的咨询电话，咨询者均反映同一个问题：Windows XP系统出现反复注销现象。由于几乎在同一时间，如此多用户反映同一问题，此事引起了金山毒霸全球反病毒监测中心的高度重视，并第一时间联系遭遇该问题的用户，立即派反病毒工程师前往提取样本，目前病毒样本正在分析处理过程中。
金山毒霸反病毒专家戴光剑表示，虽然目前还没有最后确认是什么病毒导致了用户的XP系统出现反复注销现象，但导致此类问题的原因主要有两个：1、系统默认的userinit注册表值被修改，userinit.exe文件被替换。2、病毒以及恶意软件利用了映像劫持技术劫持了userinit.exe。
一直以来病毒以及恶意软件对电脑操作系统的攻击就没有停止过，xp系统反复注销的现象就是其中之一。据了解，2005年，MSN性感鸡发作的时候就曾出现过类似的现象。
为了帮助遇到类似问题的用户及早解决问题，金山毒霸反病毒工程师推出了该问题的解决方案：
处理思路：修改注册表，替换正常的userinit.exe。由于正常模式和安全模式都无法进入，所以我们需要考虑其他引导方式修复。Dos命令行的方式修改注册表和替换文件对于一般用户来说过于复杂，故此我们仅介绍使用WinPE盘引导的方式修正此现象。
首先按delete键进入BIOS确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出重启。如图（1）所示：

重启后WinPE的启动时间比较长，请耐心等待。如图（2）所示：

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options


下找到userinit.exe项将其删除，从截图（3）可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销。

此步操作可能没有找到病毒劫持的user.exe项目，接下来定位到注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon



下找到里面的Userinit键值，将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图（4）所示：

冬日暖阳

大致看明白了，楼主的思维太过发散、太过跳跃了。楼主，加强集中精力叙述一件事情的能力。不要再发散了