XP登陆后自动注销的解决办法

XP登陆后自动注销的解决办法 XP登陆后自动注销的解决办法 一: 这是因为%System%\system32\userinit.exe没有给执行，所以系统不能够正常启动！解决如下： ①新建regfix.reg，内容如下，想办法导入系统： Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 重新启动即可！ ②使用windows PE系统（推荐用“深山红叶winpe系统根据箱”）引导至光盘系统，运行其中的“强力系统修复 ERD 2003”，设置好系统目录，接着执行他下面的注册编辑根据，找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，在右边的窗口中将键值：UserInit的值改为：C:\\WINDOWS\\system32\\userinit.exe,重新启动即可！ 二: 中了WORM_FUNNER.A病毒 用系统盘启动，登录进恢复控制台，copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。 原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe, 所以COPY以后，WINXP能找到这个登录处理程序从而成功登录。 登录进系统后，重新把这个注册表键值恢复即可。 除了用安装光盘修复外，还可通过局域网联机修复(远程修改注册表)：缬胮stools里的psexec.exe执行 Psexec.exe   \\主机名 -u 管理员用户名 -p 密码 c:\windows\regedit -s d:\us.reg us.reg 内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 三: 症状：WINXP可以进行到输入登陆名和密码,然后一进系统就马上自动注销,出现这种现象很可能是由于病毒修改了这个键值：   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit   正常的值应该是象这样的：   C:\WINDOWS\system32\userinit.exe,   病毒修改成了userinit32.exe   原因可能是是杀毒工具将userinit32.exe删除导致登录后立刻注销的情况出现   解决方法：   用Windows的安装光盘启动计算机，进故障恢复控制台，将userinit.exe复制一份命名为userinit32.exe ，重启能正常进系统后再修改此键为正常值。  另有一种可能是由于修改了这个键值:   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell   正常的值应该是xplorer.exe,修改后可能后面会加上shutdown,这样就造成关机或是注销.   解决方法：这时可以编辑一个正常的注册表文件:   Windows Registry Editor Version 5.00   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]   "Shell"="Explorer.exe"   保存为new.reg于U盘   进入DOS,输入 regedit f:\new.reg后按回车.接着画面上会出现“您确定要增加 a:\new.reg信息到注册表”的对话窗——按“确定”,“new.reg”的内容就输入注册表了  还有一种原因就是删除了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 这个注册表项（我就是用瑞星卡卡上网助手3删除了这个造成机器无法进系统）  解决方法：  除了用安装光盘修复外，还可通过局域网联机修复(远程修改注册表)：如用pstools里的psexec.exe执行   Psexec.exe \\主机名 -u 管理员用户名 -p 密码 c:\windows\regedit -s d:\reg.reg   reg.reg 内容如下：  程序代码  Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon]  "Shell"="Explorer.exe"  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"  "UIHost"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,00,\  6f,00,67,00,6f,00,6e,00,75,00,69,00,2e,00,65,00,78,00,65,00,00,00 出现这个问题的原因可能是userinit.exe出错了  userinit.exe是用来管理用户启动的。  尝试从安装光盘里面提取userinit.exe文件，然后放到%systemroot%\system32目录里面看看是不是解决了。  具体方法：  1、用Windows 2000（或者Windows XP/2003）安装光盘引导系统，在“欢迎使用安装程序”的界面上按“R”键，选择修复。  2、然后按“C”键选择使用故障恢复控制台。  3、键入一个数字，选择某个Windows 安装，通常是“1”。然后输入管理员密码  4、进入system32目录，输入命令：  del userinit32.exe  copy userinit.exe userinit32.exe  5、重启系统。  建议马上用最新杀毒软件在更新到最新病毒库后进行全面杀毒！ 某天，你打开电脑，看到熟悉的XP界面，输入密码登陆....然后桌面在眼前闪过，突然开始注销..保存设置，退回到登陆界面.. ？？？我没眼花吧，怎么退出了？ 病毒？黑客？... 可能只是突发状况，之前下功夫，2天没关机，关的时候save了很久。可能重启就好了...于是重启...又自动退出来了..  XP出现了早泄...? 上次用安全模型恢复过早些时候的设置，XP还是不错的,应该有救。于是开始试F8.. 安全模式也自动退了...剩下F8的全部模式都自动退了....绝望.... 中了WORM_FUNNER.A病毒 用系统盘启动，登录进恢复控制台，copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。 原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe, 所以COPY以后，WINXP能找到这个登录处理程序从而成功登录。 登录进系统后，重新把这个注册表键值恢复即可。 除了用安装光盘修复外，还可通过局域网联机修复(远程修改注册表)：如用pstools里的psexec.exe执行 Psexec.exe \\主机名 -u 管理员用户名 -p 密码 c:\windows\regedit -s d:\us.reg us.reg 内容如下： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," XP登录后立即注销的情况多见于感染adware类弹窗广告病毒，杀毒后出现的问题，因为病毒会感染用户登录必须的文件userinit.exe，清除病毒后此文件无法正常运行，或者这个文件被杀毒软件删除。有些病毒还会更改注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下userinit的值，更改登录时的用户初始化程序，如果启动分区是C盘，正确的值应该是"c:\windows\system32\userinit.exe"，病毒会改成如"c:\windows\system32\wsaupdater.exe"一样的内容，指向一个病毒文件wsaupdater.exe。 修复方法：归根到底就是将注册表文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下userinit的值改为正确的值，修复userinit.exe。 工具：XP安装光盘（如果userinit.exe没有被损坏，不用恢复，同时启动分区不是NTFS分区，则只需能启动电脑到DOS的启动光盘即可，否则userinit.exe无法恢复，也不能识别NTFS分区）、注册表命令行工具reg.exe（此工具存在于XP启动分区的windows\system32目录下）。 1、首先利用XP安装光盘启动电脑到控制台模式，进入c:\windows\system32目录，我们的操作都在这个目录中进行。 2、检查注册表启动项"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下userinit的值"。 在控制台输入reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v userinit回车，将会显示如下内容： ！REG.EXE   VERSION 3.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon       userinit       REG_SZ      C:\windows\system32\wsaupdater.exe 显示已经被病毒更改了 3、修复注册表 使用reg.exe的注册表文件导入功能，命令格式： reg import  包含正确内容的注册表文件 那么如果来得到这个注册表文件呢，我们使用copy con  userinit.reg命令来建立一个名为userinit.reg的reg文件即可。在命令行提示符下输入： copy con userinit.reg 回车，输入如下内容： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 然后Ctrl+z回车存盘，注意第一行一定要要哦。这样需要的注册表文件就建立好了。 再在命令行提示符下输入：reg import userinit.reg回车 如果运气好userinit.exe没有被破坏的话，我们重启电脑已经能够正常登录XP了。 4、如果仍不能登录，重复上述第1步，准备修复userinit.exe 这个文件位于XP安装光盘I386目录下，名叫userinit.ex_，需要使用expand命令来解压，在控制台命令行输入： 光驱盘符:\i386\expand userinit.ex_ c:\windows\system32\userinit.exe回车即可。从这步可以看出，如果不使用XP安装光盘启动电脑，在电脑上又没有这个文件的备份，将十分麻烦，必须另想他法。更糟的是，如果启动分区是NTFS格式，那连启动分区都看不到，谈何修复呢？当然，如果有第三方的启动工具可以做到进入NTFS分区，那就有办法，否则，重装系统吧。 5、这里介绍一种挽救无法启动的NTFS启动分区重要数据的方法 用带有ghost工具的启动光盘启动电脑，很幸运，ghost能够备份NTFS分区，我们将分区备份到其他分区，再重做XP系统，进入系统后，就可以使用ghost的gho文件浏览器将文件从我们备份的分区镜像中提取出来。 今天公司一个技术员不知道从哪拿来一台机子，说是无法启动。让我看看。 我就试了一下，开机一切正常，启动，自检，XP进度条，都过去以后，到了欢迎使用了，我以为正常了。没想到刚看到桌面，系统就自动注销，返回登录界面了，然后我点了一下用户名，系统又开始登录进入了桌面，刚看到桌面，闪了一下就又回到登陆界面了。尝试了安全模式，最后一次正确配置都无效。 之前有看过相关的技术文章，说是中了什么MSN病毒之类的。马上找了台机子上网查资料。 搜遍了整个百度，无非就是一个解决方法，下面这个就是网上搜索到的方法。 登录进恢复控制台，copy c:\windows\system32\userinit.exe userinit32.exe 重新启动就可以正常登录了。原因是MSN FUNNY病毒把正常的userinit.exe给破坏了，并且把注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的Userinit 键值由C:\WINDOWS\system32\userinit.exe, 改成了C:\WINDOWS\system32\userinit32.exe,所以COPY以后，WINXP能找到这个登录处理程序从而成功登录。登录进系统后，重新把这个注册表键值恢复即可。 进入i386所在的目录 cd i386 expand userint.ex_ %windows%system32% 我就尝试用网上的这些方法试了一番，但是结果还是不行，登录后照样还是自动注销。没办法，看来只有自己来找原因了。 凭借平时对系统的深入了解，这种情况一般是注册表文件丢失或损坏造成的，就想用自己的方法去解决。 以下是我成功修复了该问题的解决，我看遇到这个问题的人还挺多的，拿出来共享一下，让大家都能解决这个问题。 以下是解决方法 显示被隐藏内容 首先，我们先用网上的那个方法试一下，如果网上的方法不行再用我的这个方法。 用PE（可以用深山红叶的PE维护盘，下载后刻成盘）引导系统到PE环境下，PE里可以操作系统注册表。其实不用PE也可以，只要你能操作注册表的光盘就可以了。打开注册表后，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，在右侧新建一个名为“Userinit”的字符串，然后双击这个字符串，填入数据“userinit.exe”。 userinit.exe 　　 进程文件： userinit 或者 userinit.exe 　　进程名称： UserInit Process 　　描述： 　　Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。 　　出品者： Microsoft Corp. 　　属于： Windows 　　系统进程： 是 　　后台程序： 是 　　使用网络： 否 　　硬件相关： 否 　　常见错误： 未知N/A  　　内存使用： 未知N/A  　　安全等级 (0-5): 0 　　间谍软件： 否  　　Adware: 否 　　病毒： 否  　　木马： 否  　　系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的 　　最近电脑突然卡，发现杀毒软件老是userinit.exe被修改 　　如果打开C:\WINDOWS\system32文件夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件，点击右键查看属性，如果在属性窗口中看不到文件的版本标签的话，说明已经中了机器狗。  　　病毒创建userinit.exe，放入到%systemroot%system32目录下。然后，userinit.exe开始接手工作。userinit.exe进程结束。 　　userinit.exe上台后，开始创建svchost.exe进程。任务完成后，userinit.exe进程自动结束 　　svchost.exe就是主角登场了，它开始在本地端口4444号上监控，同时疯狂下载诸如kaqhjaz.exekawdeaz.exe等病毒。如果它想，估计还会下载其它N多病毒。 　　通过以上三个动作，病毒已完成取得了系统指挥大权的全部过程。当病毒干完它想干的事情后，一切进程都稍无声息的消失不见。于是乎，你不小心的话，根本就不会认为你的系统已被成功入侵了。真是天衣无缝呀！！前面两个进程，在进程列表里，停留的时间极短，几乎是一闪而过。而后面主角svchost.exe，我想你怎么也不会怀疑到它头上。系统服务的核心进程，大部分都是用它启动. 　　另外，最新的机器狗病毒，arp防火墙监控不到!! 　　穿破还原后，连接IP为xxx.xxx.xxx.xxx这个IP下载更厉害的变种病毒，破坏GHOST文件，自动打开SERVER服务，局域内迅速传播！ 　　如果已经被这个病毒迫害了系统，不能登陆，查看： 　　机器狗及其变种造成userinit.exe异常的解决方案 　　http://www.antidu.cn/html/3/2008/1/antidu_200814163642.html 　　解决方法： 　　Userinit.exe修复工具 　　http://bbs.antidu.cn/thread-3602-1-1.html 　　机器狗病毒Userinit.exe免疫程序 　　http://www.antidu.cn/html/8/2007/11/antidu_20071130203704.html 　　Zonga告诉大家解决方法： 　　利用注册表法::(转载请注明来自本空间http://hi.baidu.com/nuanruohan)  　　以下分二部分，一部分是批处理，一部分是注册表！请确保c:\windows\system32\userinit.exe是无毒文件  　　@echo off  　　md %systemroot%\system32\1  　　md %systemroot%\system32\1\2  　　copy /y c:\windows\system32\userinit.exe c:\windows\system32\1\2\  　　echo y|cacls c:\windows\system32\1\2 /p everyone:f  　　echo y|cacls c:\windows\system32\1 /p everyone:n  　　md %systemroot%\system32\drivers\pcihdd.sys  　　cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n  　　echo y|cacls c:\windows\system32\userinit.exe /p everyone:n  　　md c:\WINDOWS\AVPSrv.exe >nul 2>nul  　　md c:\WINDOWS\DiskMan32.exe >nul 2>nul  　　md c:\WINDOWS\IGM.exe >nul 2>nul  　　md c:\WINDOWS\Kvsc3.exe >nul 2>nul  　　md c:\WINDOWS\lqvytv.exe >nul 2>nul  　　md c:\WINDOWS\MsIMMs32.exe >nul 2>nul  　　md c:\WINDOWS\system32\3CEBCAF.EXE >nul 2>nul  　　md %windir%\system32\drivers\svchost.exe >nul 2>nul  　　md c:\WINDOWS\system32\a.exe >nul 2>nul  　　md c:\WINDOWS\upxdnd.exe >nul 2>nul  　　md c:\WINDOWS\WinForm.exe >nul 2>nul  　　md c:\WINDOWS\system32\rsjzbpm.dll >nul 2>nul  　　md c:\WINDOWS\system32\racvsvc.exe >nul 2>nul  　　md c:\WINDOWS\cmdbcs.exe >nul 2>nul  　　md c:\WINDOWS\dbghlp32.exe >nul 2>nul  　　md c:\WINDOWS\nvdispdrv.exe >nul 2>nul  　　md c:\WINDOWS\system32\cmdbcs.dll >nul 2>nul  　　md c:\WINDOWS\system32\dbghlp32.dll >nul 2>nul  　　md c:\WINDOWS\system32\upxdnd.dll >nul 2>nul  　　md c:\WINDOWS\system32\yfmtdiouaf.dll >nul 2>nul  　　echo y|cacls.exe c:\WINDOWS\AVPSrv.exe /d everyone >nul 1>nul  　　echo y|cacls.exe %windir%\system32\drivers\svchost.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\DiskMan32.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\IGM.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\Kvsc3.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\lqvytv.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\MsIMMs32.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\3CEBCAF.EXE /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\a.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\upxdnd.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\WinForm.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\rsjzbpm.dll /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\racvsvc.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\cmdbcs.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\dbghlp32.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\nvdispdrv.exe /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\cmdbcs.dll /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\dbghlp32.dll /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\upxdnd.dll /d everyone >nul 1>nul  　　echo y|cacls.exe c:\WINDOWS\system32\yfmtdiouaf.dll /d everyone >nul 1>nul  　　echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f  　　echo gpupdate  　　exit  　　下面是注册表部分！  　　Windows Registry Editor Version 5.00  　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]  　　"Userinit"="C:\\WINDOWS\\system32\\1\\2\\userinit.exe,"  　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Userinit]  　　"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00  　　"TypesSupported"=dword:00000007  　　[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\Userinit]  　　"EventMessageFile"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f, 00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00, 5c,00,31,00,5c,00,32,00,5c,00,75,00,73,00,65,00,72,00,69,00,6e,00,69,00,74, 00,2e,00,65,00,78,00,65,00,00,00  　　"TypesSupported"=dword:00000007  　　另存为*.reg  　　运行以上两个文件,立即搞定.  　　3.防userinit.exe修改方法:(转载请注明来自本空间http://hi.baidu.com/nuanruohan)  　　第一步:复制一份没有中毒的userinit.exe到SYSTEM32目录,  　　第二步:把复制的userinit.exe改名为其他的文件名比如:mylogin.exe  　　第三步:修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值:C:\WINDOWS\system32\userinit.exe,  　　为:C:\WINDOWS\system32\mylogin.exe,  　　注意键值后面有个英文逗号  　　第四步:为userinit.exe免疫:意思就是建立一个userinit.exe目录.去掉所有权限 [编辑本段] userinit.exe病毒手动解决办法 　　建议按照以下的顺序杀毒，以防病毒卷土重来 　　1.用系统文件userinit.exe来替换被病毒修改的userinit.exe文件，路径c:windowssystem32userinit.exe （以系统盘为C盘为例）在病毒未杀干净前，禁止IGM.exe、IGW.exe的运行。在dos窗口输入： 　　reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGM.EXE” /v debugger /t reg_sz /d debugfile.exe /f 　　reg add “HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File/Execution Options/IGW.EXE” /v debugger /t reg_sz /d debugfile.exe /f 　　说明：利用了映象劫持（本次专题，缩写为IFEO）技术，禁止了IGW.exe和IGM.exe的运行。 　　2.进入安全模式，删除注册表键值 　　删除[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run] 下的“WinSysM”、“WinSys”键值。 　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run] 下的 　　“MSDEG32”、“MSDWG32”、“MSDCG32”、“MSDOG32”、“MSDSG32”、“MSDMG32”、“MSDHG32”、“MSDQG32”键值。 　　将[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows] 下的“AppInit_DLLs”里的内容清空。 　　删除[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell/ExecuteHooks] 下的 　　smydpm.dll 　　m32 sztcpm.dll 　　m32 C:/windows/system32kawdbzy.dll 　　arjbpi.dll 　　m32 C:/windows/system32avzxdmn.dll 　　aqjbpi.dll 　　m32 C:/windows/system32/avwgcmn.dll 　　C:/windows/system32/sidjazy.dll 　　C:/windows/system32/kapjbzy.dll 　　C:/windows/system32/kaqhezy.dll 　　C:/windows/system32/avwlbmn.dll 　　atbfpi.dll 　　m32 C:/windows/system32/kvdxcma.dll 　　sjzbpm.dll 　　m32 C/:windows/system32/kafyezy.dll 　　3.进入安全模式，强制删除以下文件，可利用工具XDelBox 　　C:/Windows/system32/kvdxsbma.dll 　　C:/Windows/system32/rsjzbpm.dll 　　C:/Windows/system32/kvdxcma.dll 　　C:/Windows/system32/ratbfpi.dll 　　C:/Windows/system32/avwlbmn.dll 　　C:/Windows/system32/kaqhezy.dll 　　C:/Windows/system32/kapjbzy.dll 　　C:/Windows/system32/sidjazy.dll 　　C:/Windows/system32/avwgcmn.dll 　　C:/Windows/system32/raqjbpi.dll 　　C:/Windows/system32/avzxdmn.dll 　　C:/Windows/system32/rarjbpi.dll 　　C:/Windows/system32/kawdbzy.dll 　　C:/Windows/system32/rsztcpm.dll 　　C:/Windows/system32/rsmydpm.dll 　　C:/Windows/system32/sidjazy.dll 　　C:/Windows/igw.exe 　　C:/Windows/igm.exe 　　C:/Windows/system32/sedrsvedt.exe 　　C:/Windows/igm.exe 　　C:/Windows/system32/sjzbpm.dll 　　C:/Windows/system32/acvsvc.exe 　　C:/Windows/system32/driverssvchost.exe 　　C:/Windows/cmdbcs.exe 　　C:/Windows/dbghlp32.exe 　　C:/Windows/vdispdrv.exe 　　C:/Windows/upxdnd.exe 　　C:/Windows/system32/cmdbcs.dll 　　C:/Windows/system32/dbghlp32.dll 　　C:/Windows/system32/upxdnd.dll 　　C:/Windows/system32/yfmtdiouaf.dll 　　4.搜索所有的磁盘根目录，删除隐藏文件auto.exe和autorun.inf 　　5.运行services.msc，禁止服务“4f506c9e” 　　6.另外查看hosts文件，检查是否病毒网站IP被强制关联了[1]