某天,你打开电脑,看到熟悉的XP界面,输入密码登陆....然后桌面在眼前闪过,突然开始注销..保存设置,退回到登陆界面.. 于是开始试F8.. 安全模式也自动退了...剩下F8的全部模式都
自动退了....绝望....
原因一:
MSN FUNNY病毒把正常的userinit.exe给破坏了,并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe,
解决方案:
1、中了WORM_FUNNER.A病毒
用系统盘启动,登录进恢复控制台,copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了
原因二:
查是否被感染:`
检查
系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被蠕虫感染
解决方案:
对于Windows 2000/XP,请按照下面步骤进行
1.在命令提示符中输入下列命令,将蠕虫改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir ren %
SystemRoot%\rundll32.exe
rundll32.exe.vir
2.修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe
3.重启系统
4、在命令提示符中输入下列命令,删除蠕虫文件
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir
4、修改注册表,删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项
5、在命令提示符中输入下列命令,修复hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" ] hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hostswm7 del hosts.tmp
如果已经不恰当地删除了蠕虫,并导致系统无法正常登陆。请按照如下步骤进行:
1、用Windows 2000(或者Windows XP/2003)安装光盘引导系统,在“欢迎使用安装程序”的界面上按“R”键,选择修复
2、然后按“C”键选择使用故障恢复控制台。
3、键入一个数字,选择某个Windows 安装,通常是“1”。然后输入管理员密码。
4、进入system32目录,输入命令:
del userinit32.exe
copy userinit.exe userinit32.exe
5、重启系统,将上面介绍的清除蠕虫的办法再进行一遍