原文地址:http://cublog.cn/u/3787/showart_143524.html
昨天上网下在一个东西,没有想到这个网站如此没有网络道德,居然下载下来的是一个命名为tool.exe的东西,由于没有注意,一不小心居然点了。
,然后就看见卡巴斯基被停止运行,变成灰色
,我再寒。看来上午领了一个摄像头,这种好事,在下午立刻就有反映。人不能总是捡便宜阿。
现在我才意识到问题的严重性,立刻开启卡巴斯基,卡巴斯基一阵狂叫,报警声,连绵不断,吓得我是
,这次是爆寒。很快,这些报警声消失了-----不是卡巴斯基杀掉病毒了,而是被迫注销。然后就陷入了,无限“注销门“事件。
家里两台本,正好又前两天刚买的无线路由。可以方便的上网。什么也不说了,立刻找资料,baidu搜索栏输入 (xp 自动注销).察看结果,好嘛,几十万条。符合我的特征的也有很多(绝大多数都是中了这种木马),网上说是中了msn funny这种木马。具体的情况是,winlogon。用户登陆后由于%windows%system32%userinit.exe被修改。网上修改的例子很多,但是有不少是错的,什么copy %windows%system32%userinit.exe userinit.exe。拜托,这种copy有什么用?既然都说了十userinit.exe被修改了。那就是用一个好的userinit.exe来覆盖病机的userinit.exe。
可以把一个运行着的机器的这个文件copy来。也可以找到安装光盘,把i386下的userinit.ex_文件释放出来,具体命令是
进入i386所在的目录 cd i386
expand userint.ex_ %windows%system32%
注意:expand 不能在dos命令下使用,只能在控制台下使用。
进入控制台的步骤是:安装xp->进入控制台修复->选择操作系统(退出直接 enter,单操作系统直接键入1,多操作系统按照启动步骤分别键入相应的数字)->输入对应操作系统的管理密码(注意是管理密码,只要是administrator组的就可以)。
以上步骤全部正确以后,进入的是%windows%目录。
如果在dos下操作,请使用
extract命令,不清楚地使用 help察看。
好了,我就是进入控制台解决问题的。
网上还有说使用远程修改注册表,这种。但是大部分机器的远程注册表服务都是被关闭的,因为打开服务会有极大的风险性。所以不推荐。
还是命令行,解决问题最方便。
呵呵。