木马播报：新网银木马致系统反复注销不能登录 其实现在，大家对于病毒已经不再觉得害怕了，究竟最多是破坏系统，导致系统瘫痪，而拥有良好电脑使用习惯的人，基本都不在C盘存放重要文档，而中了病毒之后，大不了ghost一下^_^，而木马就不同了，在网络时代，木马是真正具有威胁的新病毒形式，尤其是游戏账号和网络银行，中了厉害的木马，那损失……假如是电脑上有非常重要的资料，损失也会非常惨重……最近的新网银木马，就是一个非常厉害的东东……近日，金山反病毒中心截获一非凡的木马病毒，该木马会删除系统的要害登录程序userinit.exe，导致系统重启后反复登录，无法进入桌面。金山反病毒中心已经紧急升级处理该病毒，将提供了系统修复方案。

以下是该病毒的具体分析：病毒名：Win32.Troj.BankJp.a.221184这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。1，生成文件：
%windir%\mshelp.dll
%windir%\mspw.dll2,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power3，主要危害
查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。4，其它危害
使用驱动，进行键盘记录，威胁用户财产及隐私安全。5，备份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls6，用病毒文件替换下列文件
%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe7，会在根目录下创建文件夹RECYCLER..，存放病毒备份。8，删除windows目录下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe9，该病毒会自动更新
因为病毒程序用自身替换了userinit.exe，重启系统时，会发现无法登录，反复注销。出现这个情况时，不必忙着重装系统，修复还是需要花一些功夫的，请参考以下解决方案：
方案一，使用WINPE光盘引导后修复。
首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“ ”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：

重启后WinPE的启动时间比较长，请耐心等待。如图所示：


进 入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options】下找到userinit.exe项，将其删除。（从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反复注销）