windows中毒,登录后自动注销的解决方法

   一台WINXP的机器，感染了一个MSN传播的病毒，手工清除了病毒文件后，重启， 系统每次登录就直接注销，安全模式下也是，最后正确配置也没用。

    解决方法：

    A、若病机可以网络连接：1V\'8R

    1、将正常机下的 系统盘：\windows\system32\userinit.exe 拷贝至病机相应目录下；

    2、用正常机的注册编辑器的“文件”菜单下的“连接网络注册表（C）”连接到病机的注册表，检查以下是否存在以下注册表子项（注意是项并非是键值）：

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\Application\Userinitp

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\UserinitZ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\UserinitGi\

    内容为

    键[EventMessageFile]（类型为“可扩充字符串值”）内容为：%SystemRoot%\System32\userinit.exe2#？ —— _键[TypesSupported]（类型为“DWORD值”），内容为：00000007

    同时检查：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon项下是否存在以下键值：

    键[Userinit]（类型：“字符串值”）内容：“E：\WINDOWS\system32\userinit.exe，”（注意：没有引号，且串中的E：为您的WINXP所在的盘符）

    B、若病机不可网络连接：

    用系统盘启动，登录进恢复控制台，copy c：\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。

    原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C：\WINDOWS\system32\userinit.exe， 改成了C：\WINDOWS\system32\userinit32.exe

    所以COPY以后，WINXP能找到这个登录处理程序从而成功登录。

    登录进系统后，重新把这个注册表键值恢复即可。

    C.若以上方法不行

    进入系统控制台，COPY c：\windows\repair\下software文件到c：\windows\system32\config\下，之前因先把该文件备份以防万一。重起后就能进入系统。但这时注册表有的是系统最初状态的，有的软件会用不了，进入系统后自行恢复到一个最近的状态即可。