进入XP系统后自动注销用户可能原因及解决方案

 

进入XP系统后自动注销用户.....可能原因及解决方案

 

一、安装瑞星卡卡,上面启动项管理,因取消一些无用项目,重启后,电脑就不断的注销和进入页面间切换,安全

模式也进不去.

原因：

因为取消了启动项目，实际改变注册表，瑞性卡卡的启动项管理中将Userinit项目列出，按照系统启

动顺序来说，Userinit.exe进程的执行还在Winlogon.exe之前，如果相关信息不正确，就会导致反复注销。

 

解决方案：

1、你在别的电脑上下载并刻录ERD Commander的光盘镜像文件，或者是找张这样的光盘，用这张光盘启动进

入ERD Commander，在其中执行注册表，然后找到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon这个子键，双击

其中的Userinit键值，这是字符串键值，改为C:/WINDOWS/system32/userinit.exe,，注意最后一个半角的逗

号不能漏。

2、找张XP修复光盘进行修复安装。

 

二、上网电脑中毒,用卡巴斯基杀毒后"WINXP开机登录后自动注销,安全模式也一样。

原因：

广告程序BlazeFind干的好事，这个广告程序修改注册表时不是把自己的saupdater.exe放在userinit的后

面，而是直接用wsaupdater.exe替换了userinit.exe，使得注册表这一项

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows nT/CurrentVersion/Winlogon/Userinit

的键值从默认的C:/WINDOWS/system32/userinit.exe,变为C:/Windows/System32/wsaupdater.exe,如果您

使用Ad-aware 6 Build 181清除该广告程序，重启动后可能会造成用户无法登录系统。

解决方案：

使用光盘或者软盘启动，将userinit.exe复制一份，命名为wsaupdater.exe放在同一目录下，以使得系统能够正常登录，然后将上面所述的注册表中被广告程序修改的键值恢复默认值，再删除wsaupdater.exe文件。（具体操作见以下）
cd system32
copy userinit.exe wsaupdater.exe
exit
Click start, then run. Enter
regedit
and click OK. Using RegEdit, expand
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon

Locate Userinit in the value column, right-click this item, and choose modify. Replace
"wsaupdater.exe" with "userinit.exe," (do not use quotes, and ensure the trailing comma is present as shown) and click OK. Exit RegEdit.

Restart your computer, and log on to the system using an account with administrator-level privileges.

Go to My Computer, then to the System32 folder (usually C:, then Windows, then System32). If Explorer prompts that removing files from these areas is not recommended, click to continue. Locate and remove wsaupdater.exe, and delete this file.

三、XP登陆后自动注销!

某天，你打开电脑，看到熟悉的XP界面，输入密码登陆....然后桌面在眼前闪过，突然开始注销..保存设置，

退回到登陆界面.. 于是开始试F8.. 安全模式也自动退了...剩下F8的全部模式都自动退了....绝望....

原因：

MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon 下的Userinit 键值

由C:/WINDOWS/system32/userinit.exe, 改成了C:/WINDOWS/system32/userinit32.exe,

解决方案：

1、中了WORM_FUNNER.A病毒

用系统盘启动，登录进恢复控制台，copy c:/windows/system32/userinit.exe userinit32.exe 重新启动就可

以正常登录了

2、通过局域网联机修复(远程修改注册表)：如用pstools里的psexec.exe执行

Psexec.exe //主机名 -u 管理员用户名 -p 密码 c:/windows/regedit -s d:/us.reg

us.reg 内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]

"Userinit"="C://WINDOWS//system32//userinit.exe,"

原因二：

查是否被感染：`
检查

系统中是否存在文件%SystemRoot%/system32/userinit32.exe，如果存在，则说明可能已经被蠕虫感染

解决方案：

对于Windows 2000/XP，请按照下面步骤进行

1.在命令提示符中输入下列命令，将蠕虫改名：

ren %SystemRoot%/system32/IEXPLORE.EXE IEXPLORE.EXE.vir

ren %SystemRoot%/system32/explorer.exe explorer.exe.vir

ren %SystemRoot%/system32/userinit32.exe userinit32.exe.vir ren %SystemRoot%/rundll32.exe

rundll32.exe.vir

2.修改注册表，将HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon

下的%SystemRoot%/system32/userinit32.exe修改为%SystemRoot%/system32/userinit.exe

3.重启系统

4、在命令提示符中输入下列命令，删除蠕虫文件

del %SystemRoot%/system32/IEXPLORE.EXE.vir

del %SystemRoot%/system32/explorer.exe.vir

del %SystemRoot%/system32/userinit32.exe.vir

del %SystemRoot%/system32/bsfirst2.log

del %SystemRoot%/rundll32.exe.vir

4、修改注册表，删除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下

的"MMSystem"项


5、在命令提示符中输入下列命令，修复hosts文件：

type %SystemRoot%/system32/drivers/etc/hosts|find /v "222.89.98.219" > hosts.tmp

copy /Y hosts.tmp %SystemRoot%/system32/drivers/etc/hostswm7

del hosts.tmp

如果已经不恰当地删除了蠕虫，并导致系统无法正常登陆。请按照如下步骤进行：

1、用Windows 2000（或者Windows XP/2003）安装光盘引导系统，在“欢迎使用安装程序”的界面上按

“R”键，选择修复

2、然后按“C”键选择使用故障恢复控制台。

3、键入一个数字，选择某个Windows 安装，通常是“1”。然后输入管理员密码。

4、进入system32目录，输入命令：

del userinit32.exe

copy userinit.exe userinit32.exe

5、重启系统，将上面介绍的清除蠕虫的办法再进行一遍