<tbody>
<tr>
<td><font class="f14" id="zoom">一台WINXP的机器,感染了一个MSN传播的<a class="Channel_KeyLink" href="http://www.05112.com/">病毒</a>,手工清除了<a class="Channel_KeyLink" href="http://www.05112.com/">病毒</a>文件后,重启, 系统每次登录就直接注销,<a class="Channel_KeyLink" href="http://www.05112.com/">安全</a>模式下也是,最后正确配置也没用。
<p> 解决方法:</p>
<p> <strong>A、若病机可以网络连接:1V'8R</strong></p>
<p> 1、将正常机下的 系统盘:windowssystem32userinit.exe 拷贝至病机相应目录下;</p>
<p> 2、用正常机的注册编辑器的“文件”菜单下的“连接网络注册表(C)”连接到病机的注册表,检查以下是否存在以下注册表子项(注意是项并非是键值):</p>
<p> HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogApplicationUserinit</p>
<p> HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesEventlogApplicationUserinitp</p>
<p> HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesEventlogApplicationUserinitZ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplicationUserinitGi</p>
<p> 内容为</p>
<p> 键[EventMessageFile](类型为“可扩充字符串值”)内容为:%SystemRoot%System32userinit.exe2#? —— _键[TypesSupported](类型为“DWORD值”),内容为:00000007</p>
<p> 同时检查:</p>
<p> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon项下是否存在以下键值:</p>
<p> 键[Userinit](类型:“字符串值”)内容:“E:WINDOWSsystem32userinit.exe,”(注意:没有引号,且串中的E:为您的WINXP所在的盘符)</p>
<p><strong> B、若病机不可网络连接:</strong></p>
<p> 用系统盘启动,登录进恢复控制台,copy c:windowssystem32userinit.exe userinit32.exe 重新启动就可以正常登录了。</p>
<p> 原因是MSN FUNNY<a class="Channel_KeyLink" href="http://www.05112.com/">病毒</a>把正常的userinit.exe给破坏了,并且把注册表里的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 下的Userinit 键值由C:WINDOWSsystem32userinit.exe, 改成了C:WINDOWSsystem32userinit32.exe</p>
<p> 所以COPY以后,WINXP能找到这个登录处理程序从而成功登录。</p>
<p> 登录进系统后,重新把这个注册表键值恢复即可。</p>
<p> C.若以上方法不行</p>
<p> 进入系统控制台,COPY c:windowsrepair下software文件到c:windowssystem32config下,之前因先把该文件备份以防万一。重起后就能进入系统。但这时注册表有的是系统最初状态的,有的软件会用不了,进入系统后自行恢复到一个最近的状态即可。</p>
</font></td>
</tr>
<tr>
<td> </td>
</tr>
</tbody>
</table>
