记得前段时间同学就问我,他的电脑总是关机后自动重启,我当时只是查了查,并没有实施,后来他告诉为电脑好了,直接重新装系统了.这个方法倒是干脆.昨天在图书馆值班,好多机器都出现了这样的情况,我挺好奇的,咋这样呢,于是多方找资料,解决了这个问题
①最管用的方法那就是直接重新装系统
②病毒在搞破坏
MSN FUNNY病毒把正常的userinit.exe给破坏了,并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Userinit键值由C:\WINDOWS\system32\userinit.exe,改成了C:\WINDOWS\system32\userinit32.exe,
这样只要我们用事先做好的WINPE启动盘进入系统,将完好的userinit.exe粘贴到C:\WINDOWS\system32\下,在重新启动就可以了,WINPE的制作可以用大白菜、老毛桃等工具,然后把准备的userinit.exe放在U盘里就可以完成上述的操作了。
COPY以后,WINXP能找到这个登录处理程序从而成功登录。
登录进系统后,重新把这个注册表键值恢复即可。(试过了好多电脑都成功了)
③通过局域网联机修复(远程修改注册表):如用pstools里的psexec.exe执行
Psexec.exe \\主机名 -u管理员用户名 -p密码 c:\windows\regedit -s d:\us.reg
us.reg 内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
④转自远望
查是否被感染:`
检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe,如果存在,则说明可能已经被蠕虫感染
对于Windows2000/XP,请按照下面步骤进行
1.在命令提示符中输入下列命令,将蠕虫改名:
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir
2.修改注册表,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe
3.重启系统
4、在命令提示符中输入下列命令,删除蠕虫文件
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir
4、修改注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项
5、在命令提示符中输入下列命令,修复hosts文件:
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219"> hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hostswm7
del hosts.tmp