11月6日上午，金山毒霸客戶服務中心陸續接到20幾位用戶的咨詢電話，咨詢者均反映同一個問題：Windows XP系統出現反復注銷現象。由于幾乎在同一時間，如此多用戶反映同一問題，此事引起了金山毒霸全球反病毒監測中心的高度重視，并第一時間聯系遭遇該問題的用戶，立即派反病毒工程師前往提取樣本，目前病毒樣本正在分析處理過程中。

金山毒霸反病毒專家戴光劍表示，雖然目前還沒有最后確認是什么病毒導致了用戶的XP系統出現反復注銷現象，但導致此類問題的原因主要有兩個：

1、系統默認的userinit注冊表值被修改，userinit.exe文件被替換。

2、病毒以及惡意軟件利用了映像劫持技術劫持了userinit.exe。

一直以來病毒以及惡意軟件對電腦操作系統的攻擊就沒有停止過，xp系統反復注銷的現象就是其中之一。據了解，2005年，MSN性感雞發作的時候就曾出現過類似的現象。

為了幫助遇到類似問題的用戶及早解決問題，反病毒工程師推出了該問題的解決方案：

處理思路：修改注冊表，替換正常的userinit.exe。由于正常模式和安全模式都無法進入，所以我們需要考慮其他引導方式修復。Dos命令行的方式修改注冊表和替換文件對于一般用戶來說過于復雜，故此我們僅介紹使用WinPE盤引導的方式修正此現象。（關于winpe的簡單介紹參考百度百科：http://baike.baidu.com/view/27468.htm）

首先按delete鍵進入BIOS確認當前的啟動方式是否為光盤啟動。按“+”“—”修改第一啟動為光驅，并且按F10鍵保存后退出重啟。如圖（1）所示：

圖1

重啟后WinPE的啟動時間比較長，請耐心等待。如圖（2）所示：

圖2

進入WinPE虛擬出的系統后找到里面的注冊表編輯工具定位到注冊表項：下找到userinit.exe項將其刪除，從截圖（3）可以看到病毒將userinit.exe劫持到不存在的文件上面會導致XP系統反復注銷。

圖3

此步操作可能沒有找到病毒劫持的user.exe項目，接下來定位到注冊表項下找到里面的Userinit鍵值，將其數據修改為系統默認的值『C:\WINDOWS\system32\UserInit.exe,』如圖（4）所示：

圖4

接下來我們需要將WinPE盤里面的userinit.exe文件替換系統目錄下的文件，以便確保不是病毒修改替換過的文件。方法是瀏覽光驅找到I386目錄下system32目錄，右鍵單擊userinit.exe文件后選擇『復制到』，將默認路徑X:\windows\system32輸入對話框中(X為系統盤符，通常為C盤) 如圖（5）所示：

圖5

如果在系統目錄下存在userinit.exe文件的話，會有如下提示。建議點擊“是”以避免之前文件被病毒修改。如圖（6）所示：

圖6

當注冊表修改和文件替換均完成后重啟計算機，反復注銷的現象即可解決。（注意取出WinPE光盤，以避免之后反復進入WinPE系統）

注明：此方法僅供遇到此類現象的人士參考處理，系統沒有此問題的用戶請不要模仿類似操作。WINPE光盤也是需要微軟授權的產品，不是每個電腦用戶都具備，這里補充另一個方法：你可以使用局域網中其它計算機完成本機的注冊表修復。
windows缺省情況下開啟了遠程注冊表服務，可以使用正常電腦的注冊表編輯器編輯遠程的故障電腦注冊表。如果本服務已經關閉，就只能用winpe了，其它方法更復雜。
步驟：
1.單擊開始，運行，輸入regedit，打開注冊表編輯器。
2.單擊文件菜單，連接網絡注冊表
3.輸入遠程計算的IP地址或\\機器名，連接成功后，輸入遠程計算機的管理員用戶名密碼。
接下來的步驟就和上面用Winpe編輯注冊表的方法完全一樣了。如果userinit.exe被病毒破壞，可以使用windows安裝光盤啟動后進行快速修復，以還原這個userinit.exe。