故障解决:
A. 因提示安全日志已满,先排除该问题。进入光盘PE,用NT密码工具,重建一个管理员账号,登陆后也是这样;接着拷贝以前的GHO文件的%SYSTEM32%config文件夹下的AppEvent.Evt,SysEvent.Evt,SecEvent.Evt文件到同名覆盖,然后开机进入后,没有安全日志已满的说明,但是还是重复注销。
B.因为之前对机器狗病毒有过手动杀毒经验,因为它可能修改 userinit.exe文件,所以我同样拷贝以前的GHO文件,到同名路径,同样不行。(PS:其实我查看了该文件的签名,还是MS的,估计不是这样的问题。)
C.难道他修改指向userinit.exe的登陆文件。故接下来定位到注册表项【HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon】下,找到里面的Userinit键值,其键值为『C:\\WINDOWS\\system32\\UserInit.exe,』,为正确的。
D.没有办法,重装系统,我一向不是很喜欢这样,因为学不到东西,实在不行,上网找GG大叔。
E.找到一办法,说是kernel32.dll损坏。于是乎拷贝覆盖,不行。(PS:想到此人说的不尽全对,因为kernel32.dll为内核级别文件,)
F.突然想到,会不会是映像劫持,于是乎用远程注册表查看器查看,没有。
G.是启动项问题?于是一一排查,没有。那么,我后来就下结论了,肯定是系统文件缺损,但是PE下面我只有光盘,因没有U盘,但工具都在我硬盘,所以就覆盖除了刚才的CONFIG文件下的SYSTEM32的文件。(PS:也不会是LSASS所支持的服务出问题,那会弹错误框)。 覆盖后某些软件要重新安装。重启,正常进入。
总结:日后,这样一定要把从盘给格式化,免得麻烦啊。