进入到WinPE虚拟出的系统后，找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除，找到注册表分支HKEY_LOCAL_MACHINESoftware MicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.exe，随后浏览WinPE光盘，将I386目录下的system32文件夹中的userinit.exe程序复制到系统所在盘的 windowssystem32路径下。
　　最后取出光盘，重新启动计算机，被病毒劫持的userinit.exe将恢复正常，操作系统将正常启动，反复重启不再出现，问题解决。

　　方案B：利用远程注册表修复
　　由于系统缺省情况下开启了远程注册表服务项，处在局域网中的用户可通过远程连接注册表编辑器修改被感染的电脑注册表。首先在开始菜单的运行项中输入regedit调出注册表编辑器，单击其中的文件菜单打开连接网络注册表项目，在其中输入被感染的计算机IP地址机器名(注：连接成功后如果对方计算机需要用户名及密码则需输入)。
　　随后依次找到注册表分支HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options将其下的userinit.exe程序项删除(注：有时这里无显视，找不到被病毒劫持的userinit.exe项目，那么此时就须找到注册表分支HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon，修改其下的Userinit键值为系统默认键值C:WINDOWSsystem32 UserInit.exe)，如发现userinit.exe被病毒破坏，则可使用windows安装光盘启动后进行快速修复，以达还原 userinit.exe程序文件。
　　最后将使用DOS命令将被病毒重命名并移动的c_20911.nls复位，命令如下：copy c:windowssystem32dllcachec_20911.nls c:windowssystem32完成后重启电脑，系统即可恢复正常。

　　病毒预防小提示：
　　病毒并不可怕，可怕的病毒制造者的险恶用心。网络用户须时时提高警惕以防财产损失，而面对网络初期用户，那么到底可利有何种方法进行防毒、防盗呢?其实，在网络中并没有真正安全的系统，只有相对安全的平台。如果要将来自网络中的威胁降低到最小，那么用户须注意下列几点：
    一、要不定期的利用杀毒软件或第三方安全工具，对计算机全盘进行扫描检测，对即时通迅用户，如：QQ，要利用QQ医生对系统打入补丁，并检测盗号程序，避免从此处中毒中马感染网络银行。
　　二、不要随意打开莫名网站与即时通讯软件中传递的网址，更不得随意接收并点击陌生人或来历不明的程序(包含：EXE可执行文件、图片、动画、电影、音乐、电子图书等)，以防中招。
　　三、开启系统中的补丁自动更新功能，并设置每天进行本机所安装的安全软件升级功能，以达最新版本。在网络中进行通讯时，要开启防火墙，没有安装防火墙的用户须尽快安装，这样可以防止当电脑中出现陌生程序接入网络时，及时阴断木马传送信息。
   
    本文旨在对众多的个人电脑上网用户加强对网银木马的危害有更深的认识，并对其运行机制与原理作出简要解析，提供了相对应的杀查方案。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点