近日，金山反病毒中心截获一特殊的木马病毒，该木马会删除系统的关键登录程序userinit.exe，导致系统重启后反复登录，无法进入桌面。金山反病毒中心已经紧急升级处理该病毒，将提供了系统修复方案。 

　　以下是该病毒的详细分析： 

　　病毒名：Win32.Troj.BankJp.a.221184 

　　这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码，如招商银行等；该病毒还会替换大量系统文件，如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除，并恢复userinit.exe等系统文件后再重起计算机，该病毒通过可移动磁盘传播。 

　　病毒症状 

　　1、生成文件： 

　　%windir%/mshelp.dll 

　　%windir%/mspw.dll 

　　2、添加服务 

　　HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/power 

　　3、主要危害 

　　查找“个人银行专业版”的窗口，并从内存读取账号密码，威胁用户财产安全。 

　　4、其它危害 

　　使用驱动，进行键盘记录，威胁用户财产及隐私安全。 

　　5、备份下列文件 

　　%system%/userinit.exe -> %system%/dllcache/c_20911.nls 

　　%windir%/notepad.exe -> %system%/dllcache/c_20601.nls 

　　%system%/calc.exe -> %system%/dllcache/c_20218.nls 

　　6、用病毒文件替换下列文件 

　　%system%/notepad.exe 

　　%windir%/calc.exe 

　　%system%/userinit.exe 

　　%system%/dllcache/notepad.exe 

　　%system%/dllcache/calc.exe 

　　%system%/dllcache/userinit.exe 

　　7、备份 

　　会在根目录下创建文件夹RECYCLER..，存放病毒备份。 

8、删除windows目录下的下列文件

　　notepad.exe

　　calc.exe

　　userinit.exe

　　svchost.exe

　　9、该病毒会自动更新

　　因为病毒程序用自身替换了userinit.exe，重启系统时，会发现无法登录，反复注销。出现这个情况时，不必忙着重装系统，修复还是需要花一些功夫的，请参考以下解决方案：

　　方案一、使用WINPE光盘引导后修复

　　首先按delete键进入BIOS，确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱，并且按F10键保存后退出并且重启。如图所示：