最近公司发现两例用户登陆系统后,马上就自动注销。无法登陆系统的事件。发生第一例是没有太在意,加上没有时间弄,就重装了一遍系统后,搞定。没想到过了几天又发现了一台情况一样的机器。这才意识到,可能有病毒作怪。搬来机器,弄了半天没进系统,上网查资料,免得浪费许多不必要浪费的时间。发现已经有很多用户都有这种情况发生。大概是HKLN/SOFTWARE/MICROSOFT/WINLOGON下面的USERINIT表项被更改,所以无法启动。我用ERD COMMANDER进入系统,发现注册表没有被更改,心想有可能是USERINIT.EXE可能被删除了,于是找到C:\WINDOWS\SYSTEM32\下,果然USERINIT.EXE不见了。
找到系统盘,拷贝USERINIT.EXE到SYSTEM32下,重新启动系统。一切搞定。
至于,USERINIT.EXE为什么会丢失,暂时没有时间去深究(最近事情很多,头很痛)。有知道的高手,望告之一二。
补充一下:
后面公司又发现了一台电脑出现这种情况。修复后,发现,原来是SYMANTEC的防火墙将系统文件userinit.exe当病毒删除了。不知道是userinit.exe感染病毒,还是SYMANTEC误杀。具体原因继续跟进中。