中了WORM_FUNNER.A病毒
用系统盘启动,登录进恢复控制台,copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。
原因是MSN FUNNY病毒把正常的userinit.exe给破坏了,并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe,
所以COPY以后,WINXP能找到这个登录处理程序从而成功登录。
登录进系统后,重新把这个注册表键值恢复即可。
除了用安装光盘修复外,还可通过局域网联机修复(远程修改注册表):如用pstools里的psexec.exe执行
Psexec.exe \\主机名 -u 管理员用户名 -p 密码 c:\windows\regedit -s d:\us.reg
us.reg 内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
___________________________________________________________________________________________
一台WINXP的机器,感染了一个MSN传播的病毒,手工清除了病毒文件后,重启,~*#.RY
系统每次登录就直接注销,安全模式下也是,最后正确配置也没用。
解决方法:
A、若病机可以网络连接:
1、将正常机下的 系统盘:\windows\system32\userinit.exe 拷贝至病机相应目录下;K,S
2、用正常机的注册编辑器的“文件”菜单下的“连接网络注册表(C)”连接到病机的注册表,检查以下是否存在以下注册表子项(注意是项并非是键值):id
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\Userinit+=qC
HKEY
_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Userinit1L;
©凤城论坛 -- 我的凤城论坛,我的天地 ;L
内容为'@
键[EventMessageFile](类型为“可扩充字符串值”)内容为:%SystemRoot%\System32\userinit.exe3^Pu
键[TypesSupported](类型为“DWORD值”),内容为:00000007
同时检查:}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项下是否存在以下键值:,cy.r}
键[Userinit](类型:“字符串值”)内容:“E:\WINDOWS\system32\userinit.exe,”(注意:没有引号,且串中的E:为您的WINXP所在的盘符)>
©B、若病机不可网络连接:
©
用系统盘启动,登录进恢复控制台,copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。f6h|z
原因是MSN FUNNY病毒把正常的userinit.exe给破坏了,并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe,,[~
所以COPY以后,WINXP能找到这个登录处理程序从而成功登录。"_TYY
©
登录进系统后,重新把这个注册表键值恢复即可。C}`Q4