解决“输入用户名和密码后机子一直注销”问题

病毒这东西,向来是不讨人喜欢,哪怕偶尔的讨人喜欢,也是为了灭掉它来获得胜利后的喜悦,虽然和它斗,也是一件辛苦而又快乐的事,但如果可能,永远也不想和它斗。耽误时间,耽误正事。

同事来找我,说他电脑在上网的时候,出现了一个病毒提示框,提示框是卡巴斯基弹出的,提示是删除还是跳过。其实这种提示机制设置得就不对,这种情况下,默认设置就是删除才对。但不管它,选择什么,电脑就无故重启了。重启以后,输入密码,桌面闪一下,又回到登陆提示框,再输入,又是注销后跳到登陆提示框

看了一下系统,win2000pro的,感觉最近局域网中这类病毒的,比较多,似乎像网上所传的p2p病毒传播形式,局域网内这种传播,比较可怕,只要有一个点存在病毒源,就有可能再全面爆发。另外,这种输入用户名和密码后又马上回到注销这种情况,似是负责初始化登陆的userinit文件被损坏或者被替换所引起。搜索网上的一些记录,很多是要求恢复这个键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
它的键值指向C:\WINDOWS\system32\userinit.exe。如果是win2000系统,应该是C:\WINNT\system32\userinit.exe,不要搞错了。

既然是这个有问题,查一下注册表这个键值,发现键值正常,然后查看一下这个userinit.exe文件,发现正常,18K,并且日期也和其它win2000版本正常系统的一样,但还是怀疑这个文件有问题,因此,不管太多,直接在一个win2000pro的电脑上复制了一个过来,覆盖这个文件,然后到登陆界面上敲入密码,果然,正常登陆进入了。

此时,发现托盘区卡巴斯基图标已经灰色状态,想到了日期失效的问题。点开电脑的日期选项,果然,被恢复到了2000年的状态,恢复日期,然后激活卡巴斯基,此时,卡巴斯基弹出c:\winnt\system32目录下有一个文件是病毒,要求删除,但是要求重启删除,此时不忙重启,直接到system32目录下,利用文件日期排序功能,查看最新日期的文件,果然发现了有十余个dos图标模板的文件,日期是最新的当前日期,此时,如果c盘是ntfs磁盘格式的话,此时,可以利用ntfs的操作权限来限制这些文件的运行和被覆盖;选中这些文件,然后右键点击属性,安全选项卡,把里面所有的用户的拒绝权限,选择上勾,然后确定,如果有提示,直接确定。同时,再查找一下winnt目录下面,再查找一下dllcache、drivers、inf等常规的系统文件存在目录,如果觉得不彻底,可以利用日期查找功能,搜索当天内产生的exe文件,bat文件,com文件。发生后,见有异常,立即执行“拒绝所有访问”的安全操作,至于如何判断是否正常,这就需要经验了。如果不是ntfs磁盘格式,只有到安全模式下利用杀毒软件查杀,或者利用其它引导盘,进入系统后,启动最新病毒库的杀毒软件或者专杀工具来查杀。

上述问题,应该是userinit文件被病毒感染,或者是感染了病毒以后,卡巴清除时,破坏了userinit文件,造成登陆时一直注销,无法正常登陆系统。判断这种情况,可确切对比一下同样版本操作系统的userinit文件大小,查看一下字节数是否一致,当时我处理得匆忙,没有进一步对比字节大小。事实上,哪怕字节大小一致,也要用正常的覆盖它,以减少问题判断的可能性。

关于userinit.exe的介绍:

userinit.exe是windows操作系统一个关键进程。用于管理不同的启动顺序,例如建立网络连接和windows壳的启动。出品者:Microsoft CORP.
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
间谍软件:否
广告软件:否
病毒:否
木马:否
系统刚启动时,如果你调出任务管理器就会看到userinit.exe,但过一段时间,系统各项加载完,userinit.exe就会自动消失的。  在这个键被删除后,系统无法正常启动,出现登陆界面后输入密码进入之后总是自动注销,即使在安全模式下也是一样。

ntfs磁盘格式,暂且不说其对磁盘的高效利用率、碎片少方面,单以此安全权限分配方面,就具体unix主机系统的安全特征,这个功能利用得好,能够解决很多的安全隐患问题,也能解决很多的病毒入侵问题,每个病毒感染系统,它的存在,都要找到载体,如果把它的存在名称事先给拒绝死,它不仅不能读出、运行,更不能再次覆盖(现在大多数病毒都有恢复机制了,删除后,会再次恢复),设置上完全的拒绝权限,虽然没有杀掉它,但却起到了杀掉它的作用。举一反三,参考本博以前的处理事例,这种方法,在实际应用中,能够用得到的很多。可以说,没有杀毒软件,也有可能修复系统。

2 thoughts on “解决“输入用户名和密码后机子一直注销”问题

Comments are closed.