此步操作可能没有找到病毒劫持的userinit.exe项目,接下来定位到注册表项【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon】下找到里面的Userinit键值,将其数据修改为系统默认的值『C:\WINDOWS\system32\UserInit.exe,』如图所示:
接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:\windows\system32输入对话框中(X为系统盘符,通常为C盘) 如图所示:
如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
此方法仅供遇到此类现象的人士参考处理,系统没有此问题的用户请不要模仿类似操作。
附件中是进入系统后处理全部病毒文件的批处理(适用于系统盘为C盘,有非系统分区D或者E盘,分区无卷标的用户。全部解压后运行里面的Fix_Userinit.bat。)
补充一个方法,在你找不到winpe光盘时,你可以使用局域网中其它计算机完成修复。
windows缺省情况下开启了远程注册表服务,可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。
步骤:
1.单击开始,运行,输入regedit,打开注册表编辑器。
2.单击文件菜单,连接网络注册表
3.输入远程计算的IP地址或\\机器名,连接成功后,输入远程计算机的管理员用户名密码。
有关该病毒的详细分析的报告 ,
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。 R"Duu�' A�
1,生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
