martrr, а где логика?!
вирус прописывает второй, похожий путь, паралельно.
Иначе какой смысл то, ведь без правильного userinit винда просто не загрузиться?!
вирус прописывается в HKCU, а правильный файл прописан в HKLM.
Не вводите читателей в заблуждение ;-)
P.S.: И не нужно грешить на Касперского, если это не 4-ая версия конечно :-)
сам он НИКОГДА не удалит системные файлы просто так!

"Програма делает то что вы приказали, а не то что вы подумали!" (с) кто автор не знаю

Уважаемый MadMaks, вы читали вопрос? В таком виде система не работает и большинство пользователей из-за этого переставляют систему. я не говорю, что у меня панацея от данного типа вирусов, но я справился с ним на трех разных машинах, поэтому и решил рассказать всем.
Вы пишите, что
какой смысл то, ведь без правильного userinit винда просто не загрузиться?! ОНА И НЕ ГРУЗИТСЯ!!!! Только вирус не трогал системные файлы! Он записался в систему в другое место (c:\windows вместо c:\windows\system32 ) и заменил путь в реестре с правильного на путь к вирусу. А Касперский уничтожил не СИСТЕМНЫЙ ФАЙЛ, а вирус с именем как у системного файла. Так что с Касперским все в порядке.

martrr тут пожалуй я частично погорячился, потому как вы описали поведение очень старого червя, версии 2003 года, я (каюсь) не узрел сразу, того что это старая модификация червя.
А сказанное мною относиться к той модификации (не помню как она точно называется) которая создает второй ключ, не заменяя оригинальный.
о чём собственно я и написал в своем посте

Думаю дальнейшее обсуждение, дабы не засорять тему нужно перенести в рамки РМ

Только что вылечила такую же фигню.
После работы доктора веба, который нашел несколько вирусов, винда перестала логинится - заходит и сразу обратно на выбор пользователя.
Путь в реестре правильный был, c:\windows\system32\userinit.exe,
Ничего не помогало.
Только потом заметила, что по этому пути в system32 лежал не userinit.exe, а userini.exe.
Причем drweb на него НЕ РУГАЛСЯ! А дата у файлика кривая была... Был незамедлительно удален и на его место водворен нормальный userinit.exe
Все заработало!

Сталкивался с этим вирусом у себя в школе. Насколько я понял он ничего не заменяет, а только дописывает в реестре вместо
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
вот это "Userinit"="C:\\WINDOWS\\system32\\userinit.exe, чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs"
достаточно удалить "чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs" и всё-проблема решена.
Kasper видимо удаляет всю строку, что и приводит к ошибке.
В приложенном архиве tweak для восстановления.
З.Ы Пока врубился запорол в школе 2 Винды

Доброго времени суток всем!
Проблема похожа на то , о о чем идет речь. НО!
При загрузке под ТОЛЬКО одним пользователем происходит логон, загрузка стола, настроек, а затем автоматическая перезагрузка системы.
Под админом, васей пупкиным и кем угодно еще все ок.
Антивирь нашел заразу под именем winlogon в папке с виндой. (Стандартный в system32)Снес его благополучно.
Лучше не стало.
В системных журналах ничего интересного не нашел. Максимум, упоминание о том что профиль пользователя был сохранен в неудачное время.
В общем , кто нибудь с таким сталкивался?

masol, скорее всего вам сюда (http://forum.oszone.net/thread-98169.html)

Pili
как и написанно, создал тему
здесь (http://forum.oszone.net/showthread.php?p=828073#post828073)

Спасибо.

Если изменения реестра не помогают, надо извлечь файл userinit.exe с помощью Консоли восстановления. Команда expand - но параметров не помню.

Чистил вирус и удалил в разделе SOFTWARE\Logon файлец userinit.exe
теперь система бежит по кругу- нажмите Ctrl-Alt-Delete ввод пароля и снова нажмите Ctrl-Alt-Delete ввод пароля...

снял винт подрубил на другой комп, и что? смотрю на файлы реестра и чем их (его software) открыть?
как сделать откат? не могу найти ниодной утилиты которая не чистилабы там реестр или еще чего оптимизировала, а просто смоглабы открыть указанный файл реестра :(

regedit открывает тока реестр собственно системы с которой грузанулся

Romaryo, так понятно?
http://forum.oszone.net/showpost.php?p=749896

спасибо! похоже на свет в конце тоннеля :)

удалил в разделе SOFTWARE\Logon файлец userinit.exe »
Такого раздела нет!
Правильно:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Winlogon

странное дело.

способ-
из параллельно установленной системы Regedit.exe -> указатель на HKEY_LOCAL_MACHINE -> меню Файл -> Загрузить куст -> в папку нерабочей системы \WINDOWS\system32\config, файл software.

Не проходит. Пункт меню "Загрузить куст" у меня не активен.
Пробовал на двух системах

Пункт меню "Загрузить куст" у меня не активен.
Перед тем, как лезть в меню, нужно выделить раздел HKEY_LOCAL_MACHINE. То есть, переместить на него указатель мыши и нажать левую кнопку.

отсюда (http://forum.oszone.net/post-826036.html#post826036) и далее уже объясняли в лицах как таки это делать :)

Спасибо огромное!
Все получилось. Работает :)

Возник еще один шекотливый момент, после тыркания в "загрузить куст" и последующего тыркания в файл реестра "software"...
Появмлось окошко запроса имя раздела. Ввел "Winlogon", но загрузился какой-то не тот раздел.
Поэтому в следующий раз ввел "Microsoft". Вот там уже загрузилось то что надо. Набил руками нужные строчки и все включилось! :)

Появмлось окошко запроса имя раздела. Ввел "Winlogon", но загрузился какой-то не тот раздел. »
В этом окне спрашивается не имя раздела куда переходить, а желаемое имя раздела.
Например, если ввести Test, то нужный раздел будет
HKEY_LOCAL_MACHINE\Test\Microsoft\Windows NT\Winlogon

Возникла такая же проблема как в теме. Жил с одной учётной записью, и тут завёл ещё одну и отключил автологон, и столкнулся с этим.
Причём после перезагрузки почти всегда удаётся залогиниться, а вот если завершить сеанс или "сменить пользователя" и попробовать войти под любой уч. записью то:
"Загрузка личныз параметров..." и тут же "Завершение сеанса".
Как оказалось причина в Outpost Firewall Pro версия 6.5.2355.316.0597 :) Отключив его службу стало всё отлично. Заглянул в его журнал и подтвердилось что из-за него:
15:27:22 Заблокировать WINLOGON.EXE Запуск сетевого приложения c:\windows\system32\userinit.exe

Если причина оказалась в этом, то надо в правилах для приложений у WINLOGON.EXE разрешить "Запуск сетевого приложения".

еще один метод решения данной проблемы
проверка реестра прошла удачно
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000
все ключи присутствовали, файл c:\windows\system32\userinit.exe тоже в нормальном состоянии лежал на месте.

в локальной политике безовасности тоже все стояло по-умолчанию и при данной конфигурации могли входить только админы (компьютера/домена), любой пользователь (компьютера/домена) при попытке входа, сразуже выходил

проблема решилась добавлением пользователя в панели управления -> учетные записи пользователей (пользователей нужно выбирать из домена)
http://forum.oszone.net/attachment.php?attachmentid=14147&d=1218440232
и установкой ему прав, и еще главное по окончании добавления пользователя нужно нажимать не кнопку "применить", а "ОК" - тогда выскочит окно с предложением перезагрузиться и только в этом случае изменения вступят в силу и добавленный юзер сможет заходить на комп.