11月6日上午，金山毒霸客戶服務(wù)中心陸續(xù)接到20幾位用戶的咨詢電話，咨詢者均反映同一個問題：Windows XP系統(tǒng)出現(xiàn)反復注銷現(xiàn)象。由于幾乎在同一時間，如此多用戶反映同一問題，此事引起了金山毒霸全球反病毒監(jiān)測中心的高度重視，并第一時間聯(lián)系遭遇該問題的用戶，立即派反病毒工程師前往提取樣本，目前病毒樣本正在分析處理過程中。 金山毒霸反病毒專家戴光劍表示，雖然目前還沒有最后確認是什么病毒導致了用戶的XP系統(tǒng)出現(xiàn)反復注銷現(xiàn)象，但導致此類問題的原因主要有兩個：1、系統(tǒng)默認的userinit注冊表值被修改，userinit.exe文件被替換。2、病毒以及惡意軟件利用了映像劫持技術(shù)劫持了userinit.exe。 一直以來病毒以及惡意軟件對電腦操作系統(tǒng)的攻擊就沒有停止過，xp系統(tǒng)反復注銷的現(xiàn)象就是其中之一。據(jù)了解，2005年，msn性感雞發(fā)作的時候就曾出現(xiàn)過類似的現(xiàn)象。 　 為了幫助遇到類似問題的用戶及早解決問題，金山毒霸反病毒工程師推出了該問題的解決方案： 處理思路：修改注冊表，替換正常的userinit.exe。由于正常模式和安全模式都無法進入，所以我們需要考慮其他引導方式修復。Dos命令行的方式修改注冊表和替換文件對于一般用戶來說過于復雜，故此我們僅介紹使用WinPE盤引導的方式修正此現(xiàn)象。 首先按delete鍵進入BIOS確認當前的啟動方式是否為光盤啟動。按“+”“—”修改第一啟動為光驅(qū)，并且按F10鍵保存后退出重啟。如圖（1）所示： 重啟后WinPE的啟動時間比較長，請耐心等待。如圖（2）所示： 　 進入WinPE虛擬出的系統(tǒng)后找到里面的注冊表編輯工具定位到注冊表項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 下找到userinit.exe項將其刪除，從截圖（3）可以看到病毒將userinit.exe劫持到不存在的文件上面會導致XP系統(tǒng)反復注銷。