11月6日上午，金山毒霸客戶服務(wù)中心陸續(xù)接到20幾位用戶的咨詢電話，咨詢者均反映同一個(gè)問題：Windows XP系統(tǒng)出現(xiàn)反復(fù)注銷現(xiàn)象。由于幾乎在同一時(shí)間，如此多用戶反映同一問題，此事引起了金山毒霸全球反病毒監(jiān)測中心的高度重視，并第一時(shí)間聯(lián)系遭遇該問題的用戶，立即派反病毒工程師前往提取樣本，目前病毒樣本正在分析處理過程中。 金山毒霸反病毒專家戴光劍表示，雖然目前還沒有最后確認(rèn)是什么病毒導(dǎo)致了用戶的XP系統(tǒng)出現(xiàn)反復(fù)注銷現(xiàn)象，但導(dǎo)致此類問題的原因主要有兩個(gè)：1、系統(tǒng)默認(rèn)的userinit注冊表值被修改，userinit.exe文件被替換。2、病毒以及惡意軟件利用了映像劫持技術(shù)劫持了userinit.exe。 一直以來病毒以及惡意軟件對電腦操作系統(tǒng)的攻擊就沒有停止過，xp系統(tǒng)反復(fù)注銷的現(xiàn)象就是其中之一。據(jù)了解，2005年，msn性感雞發(fā)作的時(shí)候就曾出現(xiàn)過類似的現(xiàn)象。 　 為了幫助遇到類似問題的用戶及早解決問題，金山毒霸反病毒工程師推出了該問題的解決方案： 處理思路：修改注冊表，替換正常的userinit.exe。由于正常模式和安全模式都無法進(jìn)入，所以我們需要考慮其他引導(dǎo)方式修復(fù)。Dos命令行的方式修改注冊表和替換文件對于一般用戶來說過于復(fù)雜，故此我們僅介紹使用WinPE盤引導(dǎo)的方式修正此現(xiàn)象。 首先按delete鍵進(jìn)入BIOS確認(rèn)當(dāng)前的啟動(dòng)方式是否為光盤啟動(dòng)。按“+”“—”修改第一啟動(dòng)為光驅(qū)，并且按F10鍵保存后退出重啟。如圖（1）所示： 重啟后WinPE的啟動(dòng)時(shí)間比較長，請耐心等待。如圖（2）所示： 　 進(jìn)入WinPE虛擬出的系統(tǒng)后找到里面的注冊表編輯工具定位到注冊表項(xiàng)： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 下找到userinit.exe項(xiàng)將其刪除，從截圖（3）可以看到病毒將userinit.exe劫持到不存在的文件上面會(huì)導(dǎo)致XP系統(tǒng)反復(fù)注銷。