Главная » Linux

С windows system32 userinit exe с windows system32

Содержание
  1. Userinit
  2. Содержание
  3. Подготовительный этап
  4. Запуск системы
  5. Поиск проблемм
  6. После удаления вируса не удается зайти в Windows
  7. Отсутствует файл Windows\System32\userinit.exe
  8. Неверные записи в реестре (ветка Winlogon)
  9. Где прячутся вирусы и как пользоваться командой msconfig в Windows
  10. 1. В автозагрузке операционной системы
  11. 2. Вместо проводника
  12. 3. Вместе с userinit.exe или uihost.exe
  13. Где находятся вирусы
  14. С windows system32 userinit exe с windows system32
  15. С windows system32 userinit exe с windows system32
  16. 1. В автозагрузке операционной системы
  17. 2. Вместо проводника
  18. 3. Вместе с userinit.exe или uihost.exe

Userinit

Данная статья описывает методы восстановления загрузки системы с помощью дополнительного ПО.

Иногда возникает ситуация, когда после лечения системы от вирусов она перестает загружаться или же троянская программа блокирует загрузку Windows, требуя выслать смс на определенный платный номер.

Для восстановления системы воспользуемся загрузочным диском ERDCommander.

Содержание

Подготовительный этап

1. Скачать ERDCommander.

2. Записать на CD/DVD диск.

3. В настройках BIOS установить загрузку с CD/DVD.

4. Загрузиться с CD/DVD.

Запуск системы

1. Выбрать Run ERD Commander. Нажать ОК.

2. Выбрать загружаемую системы. Их может быть несколько. Нажать ОК.

Поиск проблемм

Если при попытке входа в учетную запись завершается работа.

1.Необходимо заменить файл userinit.exe

Как правило этот файл находится в каталоге C:\WINDOWS\system32. Этот файл можно взять в дистрибутиве Windows или же взять другого компьютера с такой же операционной системой.

2. Запустить редактор реестра. Для этого нажать кнопку «Start»-«Administrative Tools»-«RegEdit»

3. Найти ветку реестра

Он должен иметь такой вид «Userinit»=»С:\WINDOWS\system32\userinit.exe,» . После запятой ничего не должно быть.

4. Если там прописан еще какой-нибудь путь, то нужно его обрезать до выше указанного.

Вот пример неправильной записи в реестре. В этой ветке прописался неизвестный троян.

Если при попытке входа в учетную запись загружается пустой рабочий стол.

1. Найти ветку реестра

2. Если в ключе прописано что-то другое, то замените на указаное выше.

3.Посмотреть что прописано в ветке

Поиск автоматически загружаемых приложений.

-Запускаем утилиту Start-Administrative Tools-Autoruns

-Дважды щелкаем по своей учетной записи (1).

-Правой кнопкой выделяем подозрительную запись и нажимаем удалить(2).

После удаления вируса не удается зайти в Windows

Полечили капитально зараженный компьютер. После затребованной антивирусом перезагрузки не удавалось зайти в Windows XP. Симптомы: после выбора пользователя и загрузки личных параметров выбрасывало снова на список пользователей. Та же беда и в безопасном режиме.

Данная проблема лечится быстро, если под рукой найдется какой-либо LiveCD. Либо можно подключить жесткий диск к другому компьютеру и загрузится на рабочей системе.

Отсутствует файл Windows\System32\userinit.exe

В 99% процентов случаев такая ошибка связана с тем, что был заражен файл userinit.exe в каталоге Windows. Антивирус его удаляет как «неизлечимый», что и приводит к невозможности входа в систему после перезагрузки.

Для исправления ошибки удобно использовать DrWeb LiveCD, заодно можно просканировать весь диск на наличие пропущенных или не удаленных вирусов. Скачать бесплатно версию DrWeb LiveCD можно на ftp-сервере производителя. Скачанный образ записываем на CD или флешку.

Загружаемся в LiveCD. Если вы не очень дружны с Linux’ом, то на рабочем столе есть ссылка на файловый менеджер Midnight Commander. Жесткие диски подмонтированы в каталоге /mnt/disk. Если у вас несколько дисков и/или они разбиты на несколько разделов, то каждый раздел будет отображен отдельным каталогом. Например, если у вас один жесткий диск и два раздела, то в /mnt/disk/ будет три каталога sda, sda1, sda2. Каталоги без цифр нас не интересуют. Обычно операционная система установлена на первом разделе жесткого диска, поэтому заходим в /mnt/disk/sda1.

Далее, необходимо переписать файл C:\Windows\system32\dllcache\userinit.exe в каталог C:\Windows\System32. Для DrWeb LiveCD, на левой панели Midnight Commander’а ищем и выделяем файл /mnt/disk/sda1/Windows/system32/dllcache/userinit.exe, на правой панели открываем каталог /mnt/disk/sda1/Windows/System32/. Скопировать файл F5 -> Enter. Если файл Windows/System32/userinit.exe существует, но другого размера, то заменить его.

Читайте также:  Linux лекарство от чего

Перезагружаем компьютер и пробуем войти в систему. Не получилось зайти в систему? Тогда переходим к следующему шагу.

Неверные записи в реестре (ветка Winlogon)

Этот случай сложнее и нам потребуется редактор реестра. Его можно найти в комплекте ERD Commander.

Загружемся с диска ERD Commander. Выбираем установленную на жестком диске систему. Запускаем редактор реестра и смотрим ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, там должны быть следующие записи:

Обратите внимание на запятую после userinit.exe, она должна быть в параметре. Исправляем записи, если у вас они отличаются. Заодно можно посмотреть параметр TaskMan, если там что-то отличное от «taskmgr.exe», то данный параметр можно смело удалить.

После внесения изменений в реестр перезагружаем компьютер.

Где прячутся вирусы и как пользоваться командой msconfig в Windows

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их необходимая часть. Для этого они вносят изменения в реестр Windows.

В зависимости от «продвинутости» создателя вируса, это может быть реализовано по-разному. Рассмотрим самые распространенные случаи:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker (скачайте с официального сайта).

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5−10-летней давности.

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке пopнo-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Читайте также:  King phisher kali linux как пользоваться

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Вирус может прописать себя например так:

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей.

Где находятся вирусы

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet <номера 001 или 002>\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Автор текста: Сергей «Остров»

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

С windows system32 userinit exe с windows system32

Привет)
Сегодня столкнулся с такой же траблой)
Замена «нормального» файла ничего не дала .
Нарыл в нете такую таблетку, в принципе она и помогла:
Короче грузимся LiveCD или же иногда так с десятой перезагрузки компа заходит в безопасный режим далее проверяем по адресу C:\WINDOWS\system32\ файлов userini.exe и userinit.exe если есть оба то удаляем userinit.exe а файл userini.exe переименовываем в userinit.exe и в принципе можно перезагружать, но лучше сначала проверить ключи в реестре, если один файл userinit.exe то сразу проверяем ключи, а на место userinit.exe можно взять с любого другого компа или если помниш с кокого дистрибутива уснанавливалось то на другой машине ставим на виртуалку и берем уже оттуда файл.
Так вот в реестре должно быть так
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Userinit»=»C:\WINDOWS\system32\userinit.exe,»

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
«PersistBrowsers»=dword:00000000

Вместо C:\WINDOWS\system32\userinit.exe может быть C:\WINDOWS\userinit.exe, тогда просто переписываем путь на правильный, а файл C:\WINDOWS\userinit.exe удаляем,
или может быть
вот это «Userinit»=»C:\\WINDOWS\\system32\\userinit.ex e, чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs»
достаточно удалить «чё-то там\прога которая исолняет vbs скрипты\, чё-то там\прога которая исолняет vbs скрипты\kill.vbs» и всё-проблема решена.
Антивируска видимо удаляет всю строку, что и приводит к ошибке.

классный форум, можно отписаться без регистрации)

С windows system32 userinit exe с windows system32

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Читайте также:  Windows with ata device

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов — мочить гадов! 🙂

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими :

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так :

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet <номера 001 или 002>\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Оцените статью
© 2024 Советы по настройке компьютера