几天前,发现一个病毒,每个分区的根目录都有autorun.inf,看来又是一个通过U盘传播的病毒。病毒很简单,没干太多坏事,只是用批处理传播一下,改改注册表,取消一下系统的管理员口令,以至于杀毒软件都不把它当成是病毒。杀毒软件杀不掉,就手工来删。删除时需要在每个分区的根目录下和Windows系统目录下删除病毒文件,按照批处理里修改注册表的位置,把那几个地方再改回来。
注册表中有一个地方是
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,***.exe"
这里只需要把***.exe删除即可,但我不小心把整个键值都删除了,结果导致系统一启动即注销,无法进入系统,安全模式也一样。
用另一台电脑上网查了一下,userinit.exe是Windows操作系统一个关键进程,用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。注册表的这个位置也是病毒喜欢利用的地方,可以用来实现开机病毒自启动。一般是象本例一样在userinit.exe后面加东西,或者干脆自己冒充userinit.exe,把真正的userinit.exe替换掉。
知道了原因就需要恢复注册表里的这一项。可是系统启动不起来,怎么恢复呢?想起来见过一篇文章,讲如何找回丢失的XP密码的,说是可以用脚本实现Windows在登录屏幕出现之前运行指定的批处理。输入“Winxp密码,脚本恢复”google了一下,发现这篇文章被转帖得到处都是。然而照着文章中的说法试了一下,发现并不管用。
理解安全恢复被误删的关键系统文件
内容版权声明:除非注明,否则皆为本站原创文章。