无忧启动论坛

标题: 登陆即注销的问题 [打印本页]

作者: 第三只眼睛 时间: 2008-7-14 18:12
标题: 登陆即注销的问题
我的电脑是XP，登陆的帐户是有管理员权限的USER，但是还保留ADMINISTRATOR帐户。由于USER帐户的密码是空，所以每次都直接进入系统，不用输入密码。今天进入系统后，出现了登陆对话框，要求输入密码。回车后提示“正在登陆”，但是几十秒后提示“正在注销”，结果就关机了。用安全模式启动也是这样。正常情况下用安全模式启动应该出现两个帐户供选择的，就是ADMINISTRATOR和USER.但是和正常登陆一样。是不是我的电脑中毒了啊？

作者: ffbi 时间: 2008-7-14 20:16
WINXP开机故障-登录后自动注销
情况一：昨晚上网电脑中毒,用卡巴斯基杀毒后"WINXP开机登录后自动注销,安全模式也一样",经查询资料解决如下:
故障分析：广告程序BlazeFind干的好事，这个广告程序修改注册表时不是把自己的saupdater.exe放在userinit的后面，而是直接用wsaupdater.exe替换了userinit.exe，使得注册表这一项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows nT\CurrentVersion\Winlogon\Userinit
的键值从默认的C:\WINDOWS\system32\userinit.exe,变为C:\Windows\System32\wsaupdater.exe,如果您使用Ad-aware 6 Build 181清除该广告程序，重启动后可能会造成用户无法登录系统。
解决方法：使用光盘或者软盘启动，将userinit.exe复制一份，命名为wsaupdater.exe放在同一目录下，以使得系统能够正常登录，然后将上面所述的注册表中被广告程序修改的键值恢复默认值，再删除wsaupdater.exe文件。（具体操作见以下）
cd system32
copy userinit.exe wsaupdater.exe
exit
Click start, then run. Enter
regedit
and click OK. Using RegEdit, expand
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon

Locate Userinit in the value column, right-click this item, and choose modify. Replace
"wsaupdater.exe" with "userinit.exe," (do not use quotes, and ensure the trailing comma is present as shown) and click OK. Exit RegEdit.

Restart your computer, and log on to the system using an account with administrator-level privileges.

Go to My Computer, then to the System32 folder (usually C:, then Windows, then System32). If Explorer prompts that removing files from these areas is not recommended, click to continue. Locate and remove wsaupdater.exe, and delete this file.

情况二：
XP疯了，登陆后自动注销!
某天，你打开电脑，看到熟悉的XP界面，输入密码登陆....然后桌面在眼前闪过，突然开始注销..保存设置，退回到登陆界面..
？？？我没眼花吧，怎么退出了？病毒？黑客？...
可能只是突发状况，之前下功夫，2天没关机，关的时候save了很久。可能重启就好了...于是重启...又自动退出来了..
XP出现了早泄...?
上次用安全模型恢复过早些时候的设置，XP还是不错的,应该有救。于是开始试F8..
安全模式也自动退了...剩下F8的全部模式都自动退了....绝望....
中了WORM_FUNNER.A病毒
用系统盘启动，登录进恢复控制台，copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。

原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe,

所以COPY以后，WINXP能找到这个登录处理程序从而成功登录。
登录进系统后，重新把这个注册表键值恢复即可。

除了用安装光盘修复外，还可通过局域网联机修复(远程修改注册表)：如用pstools里的psexec.exe执行

Psexec.exe \\主机名 -u 管理员用户名 -p 密码 c:\windows\regedit -s d:\us.reg

us.reg 内容如下：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

方法二：转自远望
查是否被感染：`
检查系统中是否存在文件%SystemRoot%\system32\userinit32.exe，如果存在，则说明可能已经被蠕虫感染

对于Windows 2000/XP，请按照下面步骤进行

1.在命令提示符中输入下列命令，将蠕虫改名：
ren %SystemRoot%\system32\IEXPLORE.EXE IEXPLORE.EXE.vir
ren %SystemRoot%\system32\explorer.exe explorer.exe.vir
ren %SystemRoot%\system32\userinit32.exe userinit32.exe.vir
ren %SystemRoot%\rundll32.exe rundll32.exe.vir

2.修改注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的%SystemRoot%\system32\userinit32.exe修改为%SystemRoot%\system32\userinit.exe

3.重启系统

4、在命令提示符中输入下列命令，删除蠕虫文件
del %SystemRoot%\system32\IEXPLORE.EXE.vir
del %SystemRoot%\system32\explorer.exe.vir
del %SystemRoot%\system32\userinit32.exe.vir
del %SystemRoot%\system32\bsfirst2.log
del %SystemRoot%\rundll32.exe.vir

4、修改注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"MMSystem"项

5、在命令提示符中输入下列命令，修复hosts文件：
type %SystemRoot%\system32\drivers\etc\hosts|find /v "222.89.98.219" > hosts.tmp
copy /Y hosts.tmp %SystemRoot%\system32\drivers\etc\hostswm7
del hosts.tmp

如果已经不恰当地删除了蠕虫，并导致系统无法正常登陆。请按照如下步骤进行：

1、用Windows 2000（或者Windows XP/2003）安装光盘引导系统，在“欢迎使用安装程序”的界面上按“R”键，选择修复

2、然后按“C”键选择使用故障恢复控制台。

3、键入一个数字，选择某个Windows 安装，通常是“1”。然后输入管理员密码。

4、进入system32目录，输入命令：
del userinit32.exe
copy userinit.exe userinit32.exe

5、重启系统，将上面介绍的清除蠕虫的办法再进行一遍

作者: woshilehaha 时间: 2008-7-14 22:29
肯定是中毒了。

可以的话，重装系统最干脆。

作者: jasonwang 时间: 2008-7-16 09:34
2楼的方法应该可行。

作者: 夜の林 时间: 2008-7-16 13:08
安全模式进不去 userinit.exe问题别的机子拷贝或安装盘里解压一个
进去了 EXPLORE.EXE问题重新拷贝进即可

[ 本帖最后由夜の林于 2008-7-17 14:43 编辑 ]

作者: bianlimit 时间: 2008-7-16 14:23
检查以下是否存在以下注册表子项（注意是项并非是键值）：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\UserinitI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Userinit
内容为
键[EventMessageFile]（类型为“可扩充字符串值”）内容为：%SystemRoot%\System32\userinit.exe
键[TypesSupported]（类型为“DWORD值”），内容为：00000007

同时检查：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项下是否存在以下键值：
键[Userinit]（类型：“字符串值”）内容：“C:\WINDOWS\system32\userinit.exe,”

作者: 阿文 时间: 2008-7-18 08:37
你中的是机器狗，直接穿透的病毒。

这几天制作克隆母盘，也是要解决这个问题，虽然SATA集成的比龙帝国的还要多出50多个，但是安全稳定性更得研究了。
据说基本是所有的还原软件都被穿了。

冰点，还原精灵，极速还原，魔镜还原，影子系统，雨过天晴，SD等都在不同层次的穿了。联想的冰封没有试，我想原理也是差不多的了。这些都是基于系统下虚拟操作还原。

作者: skyhawks 时间: 2008-7-22 21:59
提示: 作者被禁止或删除内容自动屏蔽

作者: skyhawks 时间: 2008-7-22 22:01
提示: 作者被禁止或删除内容自动屏蔽

作者: ljg53100 时间: 2008-7-23 17:31
这个是磁碟机病毒的症状，找找网上的修复方案一般都能解决

欢迎光临无忧启动论坛 (http://bbs.c3.wuyou.net/)