之前灌了卡巴斯基且扫完木马後， 重新开机发现无法登入了， 四处爬文似乎有不少人也在问这个问题， 但却没有个明确的解决方法， 我研究了好久终於找到不用重灌就可以解决的方式， 特别post出来分享给大家。 欢迎转载，但请注明原作者。 以下说明皆是以中文WinXP，作业系统安装於C碟为例说明 先说明系统登入後会自动登出的原因，在作业系统中有一个位於C:\WINNT\system32 下档名为userinit.exe的档案，如果这个档案遗失或者相关的登录档损坏，就会造 成登入後自动登出的情况。 而卡巴斯基在遇到某些病毒或木马(至於是哪种病毒或木马我也不确定)，在卡巴解 毒的过程中，会自动变更Windows的机码并自动重新开机，然後梦餍就来了。我花了 二天的时间找资料及比对系统机码，发现： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit这组机码，其资料型态被由字串值(REG_SZ)变更为可扩充字串值(REG_EXPA ND_SZ)，进而造成WinXP无法判读该段机码，只要删除掉这段错误的机码，再补上正 确资料型态之机码即可。(我在Win2000之中并没有找到可扩充字串值这种资料型态 ，所以我大胆猜测，卡巴斯基并不会导致Win2000系统有登入後自动登出的问题) 平常要修正机码很简单，只要打开系统登录编辑器修改一下即可，但现在作业系统 根本无法登入，连安全模式也一样无法登入，要如何解决这个问题呢，我提供二种 解决方案： 方案1： 网路上有网友整合出WinPE+ERD2003的整合性光碟(请自行搜寻，我不便提供连结)， 以此光碟开机并选择作业系统後，执行ERD2003内建之系统登入编辑器（此软体为简 体中文语系），找到位於： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下Userinit这组机码，点开并复制他值的内容，举例来说，我的是： ”C:\WINNT\system32\userinit.exe,”, 然後删除Userinit这组机码再新增一笔名 称为Userinit且资料型态为字串值之机码，再将其值的内容设定为与删除前相同之 C:\WINNT\system32\userinit.exe,即可。 修改完成後，离开系统登录编辑器并重新开机，一切搞定！ 方案2： 实在是拿不到在其他系统下可编辑系统登录档之软体的话，以可读取到NTFS之开机 片（如WInPE、WinXP光碟中之修复主控台等），开机後并进入命令提示字元，打入： c: cd windows md regtemp cd system32 cd config copy software \windows\regtemp del software copy \windows\repair\software exit 重新开机後就可以登入系统，但所有使用者之软体设定值全部消失，这时再执行系统 登录编辑器，展开HKEY_LOCAL_MACHINE，然後执行系统登录编辑器中载入Hive控制档 这项功能（位於档案>载入Hive控制档），载入C:\windows\regtemp\software这个档 案，并将名称取为regtemp，找到位於：HKEY_LOCAL_MACHINE\SOFTWARE\regtemp\Mic rosoft\Windows NT\CurrentVersion\Winlogon下Userinit这组机码，点开并复制他 值的内容，, 然後删除Userinit这组机码再新增一笔名称为Userinit且资料型态为字 串值之机码，再将其值的内容设定为与删除前相同之C:\WINNT\system32\userinit. exe,即可。 接着点一下regtemp，执行Hive解除载入以卸载登录档，完成後重新开机，并再次以 开机片开机，在其命令提示字元下打入： c: cd windows cd system32 cd config del software copy \windows\regtemp\software exit 重新开机後系统即恢复正常。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 211.20.115.139