Показать полную графическую версию : [решено] При входе в систему происходит автоматическое завершение сеанса
Страниц :
1
2
3
[
4]
5
6
7
8
9
10
martrr, а где логика?!
вирус прописывает второй, похожий путь, паралельно.
Иначе какой смысл то, ведь без правильного userinit винда просто не загрузиться?!
вирус прописывается в HKCU, а правильный файл прописан в HKLM.
Не вводите читателей в заблуждение ;-)
P.S.: И не нужно грешить на Касперского, если это не 4-ая версия конечно :-)
сам он НИКОГДА не удалит системные файлы просто так!
"Програма делает то что вы приказали, а не то что вы подумали!" (с) кто автор не знаю
Уважаемый MadMaks, вы читали вопрос? В таком виде система не работает и большинство пользователей из-за этого переставляют систему. я не говорю, что у меня панацея от данного типа вирусов, но я справился с ним на трех разных машинах, поэтому и решил рассказать всем.
Вы пишите, что
какой смысл то, ведь без правильного userinit винда просто не загрузиться?! ОНА И НЕ ГРУЗИТСЯ!!!! Только вирус не трогал системные файлы! Он записался в систему в другое место (c:\windows вместо c:\windows\system32 ) и заменил путь в реестре с правильного на путь к вирусу. А Касперский уничтожил не СИСТЕМНЫЙ ФАЙЛ, а вирус с именем как у системного файла. Так что с Касперским все в порядке.
martrr тут пожалуй я частично погорячился, потому как вы описали поведение очень старого червя, версии 2003 года, я (каюсь) не узрел сразу, того что это старая модификация червя.
А сказанное мною относиться к той модификации (не помню как она точно называется) которая создает второй ключ, не заменяя оригинальный.
о чём собственно я и написал в своем посте
Думаю дальнейшее обсуждение, дабы не засорять тему нужно перенести в рамки РМ
Только что вылечила такую же фигню.
После работы доктора веба, который нашел несколько вирусов, винда перестала логинится - заходит и сразу обратно на выбор пользователя.
Путь в реестре правильный был, c:\windows\system32\userinit.exe,
Ничего не помогало.
Только потом заметила, что по этому пути в system32 лежал не userinit.exe, а userini.exe.
Причем drweb на него НЕ РУГАЛСЯ! А дата у файлика кривая была... Был незамедлительно удален и на его место водворен нормальный userinit.exe
Все заработало!
Сталкивался с этим вирусом у себя в школе. Насколько я понял он ничего не заменяет, а только дописывает в реестре вместо
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
вот это "Userinit"="C:\\WINDOWS\\system32\\userinit.exe, чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs"
достаточно удалить "чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs" и всё-проблема решена.
Kasper видимо удаляет всю строку, что и приводит к ошибке.
В приложенном архиве tweak для восстановления.
З.Ы Пока врубился запорол в школе 2 Винды
Доброго времени суток всем!
Проблема похожа на то , о о чем идет речь. НО!
При загрузке под ТОЛЬКО одним пользователем происходит логон, загрузка стола, настроек, а затем автоматическая перезагрузка системы.
Под админом, васей пупкиным и кем угодно еще все ок.
Антивирь нашел заразу под именем winlogon в папке с виндой. (Стандартный в system32)Снес его благополучно.
Лучше не стало.
В системных журналах ничего интересного не нашел. Максимум, упоминание о том что профиль пользователя был сохранен в неудачное время.
В общем , кто нибудь с таким сталкивался?
masol, скорее всего вам сюда (http://forum.oszone.net/thread-98169.html)
Pili
как и написанно, создал тему
здесь (http://forum.oszone.net/showthread.php?p=828073#post828073)
Спасибо.
Если изменения реестра не помогают, надо извлечь файл userinit.exe с помощью Консоли восстановления. Команда expand - но параметров не помню.
Чистил вирус и удалил в разделе SOFTWARE\Logon файлец userinit.exe
теперь система бежит по кругу- нажмите Ctrl-Alt-Delete ввод пароля и снова нажмите Ctrl-Alt-Delete ввод пароля...
снял винт подрубил на другой комп, и что? смотрю на файлы реестра и чем их (его software) открыть?
как сделать откат? не могу найти ниодной утилиты которая не чистилабы там реестр или еще чего оптимизировала, а просто смоглабы открыть указанный файл реестра :(
regedit открывает тока реестр собственно системы с которой грузанулся
Petya V4sechkin
25-06-2008, 13:10
Romaryo, так понятно?
http://forum.oszone.net/showpost.php?p=749896
спасибо! похоже на свет в конце тоннеля :)
удалил в разделе SOFTWARE\Logon файлец userinit.exe »
Такого раздела нет!
Правильно:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Winlogon
странное дело.
способ-
из параллельно установленной системы Regedit.exe -> указатель на HKEY_LOCAL_MACHINE -> меню Файл -> Загрузить куст -> в папку нерабочей системы \WINDOWS\system32\config, файл software.
Не проходит. Пункт меню "Загрузить куст" у меня не активен.
Пробовал на двух системах
Petya V4sechkin
26-06-2008, 09:19
Пункт меню "Загрузить куст" у меня не активен.
Перед тем, как лезть в меню, нужно выделить раздел HKEY_LOCAL_MACHINE. То есть, переместить на него указатель мыши и нажать левую кнопку.
отсюда (http://forum.oszone.net/post-826036.html#post826036) и далее уже объясняли в лицах как таки это делать :)
Спасибо огромное!
Все получилось. Работает :)
Возник еще один шекотливый момент, после тыркания в "загрузить куст" и последующего тыркания в файл реестра "software"...
Появмлось окошко запроса имя раздела. Ввел "Winlogon", но загрузился какой-то не тот раздел.
Поэтому в следующий раз ввел "Microsoft". Вот там уже загрузилось то что надо. Набил руками нужные строчки и все включилось! :)
Появмлось окошко запроса имя раздела. Ввел "Winlogon", но загрузился какой-то не тот раздел. »
В этом окне спрашивается не имя раздела куда переходить, а желаемое имя раздела.
Например, если ввести Test, то нужный раздел будет
HKEY_LOCAL_MACHINE\Test\Microsoft\Windows NT\Winlogon
Возникла такая же проблема как в теме. Жил с одной учётной записью, и тут завёл ещё одну и отключил автологон, и столкнулся с этим.
Причём после перезагрузки почти всегда удаётся залогиниться, а вот если завершить сеанс или "сменить пользователя" и попробовать войти под любой уч. записью то:
"Загрузка личныз параметров..." и тут же "Завершение сеанса".
Как оказалось причина в Outpost Firewall Pro версия 6.5.2355.316.0597 :) Отключив его службу стало всё отлично. Заглянул в его журнал и подтвердилось что из-за него:
15:27:22 Заблокировать WINLOGON.EXE Запуск сетевого приложения c:\windows\system32\userinit.exe
Если причина оказалась в этом, то надо в правилах для приложений у WINLOGON.EXE разрешить "Запуск сетевого приложения".
еще один метод решения данной проблемы
проверка реестра прошла удачно
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000
все ключи присутствовали, файл c:\windows\system32\userinit.exe тоже в нормальном состоянии лежал на месте.
в локальной политике безовасности тоже все стояло по-умолчанию и при данной конфигурации могли входить только админы (компьютера/домена), любой пользователь (компьютера/домена) при попытке входа, сразуже выходил
проблема решилась добавлением пользователя в панели управления -> учетные записи пользователей (пользователей нужно выбирать из домена)
http://forum.oszone.net/attachment.php?attachmentid=14147&d=1218440232
и установкой ему прав, и еще главное по окончании добавления пользователя нужно нажимать не кнопку "применить", а "ОК" - тогда выскочит окно с предложением перезагрузиться и только в этом случае изменения вступят в силу и добавленный юзер сможет заходить на комп.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.