理解安全恢复被误删的关键系统文件

几天前，发现一个病毒，每个分区的根目录都有autorun.inf，看来又是一个通过U盘传播的病毒。病毒很简单，没干太多坏事，只是用批处理传播一下，改改注册表，取消一下系统的管理员口令，以至于杀毒软件都不把它当成是病毒。杀毒软件杀不掉，就手工来删。删除时需要在每个分区的根目录下和Windows系统目录下删除病毒文件，按照批处理里修改注册表的位置，把那几个地方再改回来。

注册表中有一个地方是

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,***.exe"

这里只需要把***.exe删除即可，但我不小心把整个键值都删除了，结果导致系统一启动即注销，无法进入系统，安全模式也一样。

用另一台电脑上网查了一下，userinit.exe是Windows操作系统一个关键进程，用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。注册表的这个位置也是病毒喜欢利用的地方，可以用来实现开机病毒自启动。一般是象本例一样在userinit.exe后面加东西，或者干脆自己冒充userinit.exe，把真正的userinit.exe替换掉。

知道了原因就需要恢复注册表里的这一项。可是系统启动不起来，怎么恢复呢？想起来见过一篇文章，讲如何找回丢失的XP密码的，说是可以用脚本实现Windows在登录屏幕出现之前运行指定的批处理。输入“Winxp密码，脚本恢复”google了一下，发现这篇文章被转帖得到处都是。然而照着文章中的说法试了一下，发现并不管用。

【内容导航】
第1页：理解安全恢复被误删的关键系统文件	第2页：理解安全恢复被误删的关键系统文件

利用Windows系统本身漏洞创建带“”符号文件夹WINDOWS XP登陆密码忘记的用U盘解决相关资讯安全

今日系统观察：MySQL官网被黑情况（09/27/2011 19:25:35）
Chrome OS当真“固若金汤”？初步（11/23/2009 11:31:16）
黑客再爆Linux内核高危漏洞一个命（08/16/2009 07:22:34）

奥巴马任命网络安全专家担任“网络（01/04/2010 11:58:06）
新版本的phpMyAdmin修复了安全漏洞（10/18/2009 00:20:15）
网络安全扫描工具Nmap 5.00发布（07/18/2009 06:06:45）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任