%windir%\mshelp.dll

%windir%\mspw.dll

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power

%system%\userinit.exe -> %system%\dllcache\c_20911.nls 

%windir%otepad.exe -> %system%\dllcache\c_20601.nls

%system%\calc.exe -> %system%\dllcache\c_20218.nls

%system%otepad.exe

%windir%\calc.exe

%system%\userinit.exe

%system%\dllcacheotepad.exe

%system%\dllcache\calc.exe

%system%\dllcache\userinit.exe

notepad.exe

calc.exe

userinit.exe

svchost.exe

重启后WinPE的启动时间比较长，请耐心等待。如图所示：

进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image File Execution Options

此步操作可能没有找到病毒劫持的userinit.exe项目，接下来定位到注册表项

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

接下来我们需要将WinPE盘里面的userinit.exe文件替换系统目录下的文件，以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目录下system32目录，右键单击userinit.exe文件后选择“复制到”，将默认路径X:\windows\system32输入对话框中(X 为系统盘符，通常为C盘) 如图所示：

如果在系统目录下存在userinit.exe文件的话，会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示：

当注册表修改和文件替换均完成后重启计算机，反复注销的现象即可解决。（注意取出WinPE光盘，以避免之后反复进入WinPE系统）此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。
新网银木马BankJp清除方案二：使用注册表编辑器编辑远程计算机的注册表

因方案一需要的WINPE光盘不是每个人都有，故提出使用注册表编辑器编辑远程计算机的注册表的方法。此方法仅供遇到此类现象的人士参考处理，系统没有此问题的用户请不要模仿类似操作。WINPE光盘也是需要微软授权的产品，不是每个电脑用户都有，这里补充另一个方法：你可以使用局域网中其它计算机完成本机的注册表修复。
Windows缺省情况下开启了远程注册表服务，可以使用正常电脑的注册表编辑器编辑远程的故障电脑注册表。如果本服务已经关闭，就只能用winpe了，其它方法更复杂。
新网银木马BankJp清除步骤：
1.单击开始，运行，输入regedit，打开注册表编辑器。
2.单击文件菜单，连接网络注册表。
3.输入远程计算的IP地址或\\机器名，连接成功后，输入远程计算机的管理员用户名密码。
接下来的步骤就和上面用Winpe编辑注册表的方法完全一样了。如果userinit.exe被病毒破坏，可以使用windows安装光盘启动后进行快速修复，以还原这个userinit.exe。
根据该病毒的行为，病毒将userinit.exe重命名为c_20911.nls，并从c:\windows\system32目录移动到了c:\windows\system32\dllcache\c_20911.nls，我们只需要使用copy命令，还原这个文件就可以。
命令为

copy c:\windows\system32\dllcache\c_20911.nls c:\windows\system32