登录Win xp系统后又自动注销?原来是SP3安装不成功
endurer 原创
2008-01-13 第1版
今天一位同事说他的电脑出现故障:登录Win xp系统后又自动注销,请偶帮忙检修。
以安全模式重启电脑,可以正常登录。使用pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-04-26 by Purple Endurer
2008-11-2 10:37:47
Windows XP Service Pack 3(5.1.2600)
MSIE:7.0.5730.13
管理员用户组
安全模式
O4 - HKCU/../RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%/Installer/TSClientMsiTrans/tscuinst.vbs"
O4 - HKCU/../RunOnce: [TSClientAXDisabler] cmd.exe /C "%systemroot%/Installer/TSClientMsiTrans/tscdsbl.bat"
O20 - AppInit_DLLs = nhmxejkl.dll,MMWLANGH1006.dll,tisqctyu.dll
O24 - ShlExecHook: [5] - {528DF602-9541-A985-210A-984A698C6F25} = 5
O24 - ShlExecHook: [5] - {00070007-0007-0007-0007-00070007BB15} = 5
O24 - ShlExecHook: [5] - {00010001-0001-0001-0001-00010001BB15} = 5
O24 - ShlExecHook: [5] - {00050005-0005-0005-0005-00050005BB15} = 5
O24 - ShlExecHook: [5] - {00170017-0017-0017-0017-00170017BB15} = 5
O24 - ShlExecHook: [5] - {00030003-0003-0003-0003-00030003BB15} = 5
O24 - ShlExecHook: [5] - {00330033-0033-0033-0033-00330033BB15} = 5
O24 - ShlExecHook: [5] - {00060006-0006-0006-0006-00060006BB15} = C:/WINDOWS/system32/dispexcb.dll
O24 - ShlExecHook: [5] - {00130013-0013-0013-0013-00130013BB15} = C:/WINDOWS/system32/ksuserfy.dll
O24 - ShlExecHook: [5] - {00300030-0030-0030-0030-00300030BB15} = C:/WINDOWS/system32/imgutilhx2.dll
其中 O20 和 O24项明显是恶意程序留下的,用卡卡安全助手删除。
O4项就有点奇怪了,先在卡卡安全助手中取消其自启动。
重启电脑,正常启动Windows,弹出一个出错提示框。
标题是“Windows产品激活”,信息内容是:一个问题阻止Windows正确检测此机器的许可证。错误代码:0x80070002。
看来可能是同事不小心打了什么系统补丁。
重启电脑,选择“使用最后一次正确的配置启动”,无效。
重启电脑到安全模式,到控制面板的“添加删除程序”中检测,没有发现新安装的补丁。
检查c:/windows文件夹,发现一个SP3补丁的备份文件夹的创建时间是2008-11-1。使用该文件夹中的卸载把SP3卸载掉后,重启电脑,可以正常登录了。
Google了一下,原来那两个O4项正好是打SP3补丁时使用的。