Завершение сеанса после вируса
При входе в систему, сразуже завершается сеанс. Далее предлагается выбрать пользователя и войти - но при любой попытке войти в ситему - "Загрузка личных настороек . " и сразу "Сохранение . " и завершение сеанса - в итоге не возможно войти в сисиему и сделать откат на предыдущую контрольную точку.
1. Проверьте параметр в реестре:
Код:
"Userinit"="C:\WINDOWS\system32\user init.exe,"
Значение должно быть именно таким, с запятой в конце (буква системного диска может отличаться).
Также убедитесь в наличии файла Userinit.exe в папке \WINDOWS\system32
Удалите этот раздел (если существует):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Image File Execution Options\userinit.exe
2. Если проблема появилась после изменения таблицы разделов жесткого диска, воспользуйтесь статьей:
Не удается войти в систему после изменения буквы диска с загрузочным разделом
Последнее время на сайт приходят пользователи по запросу “userini.exe”. Скорее всего, это люди столкнувшиеся с вирусом ntos.exe или подобным, который обсуждался на форуме – здесь. Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.
Настоящий userinit.exe, который находится в системной папке Windows (C:\Windows\System32\), переименовывается вирусом в userini.exe (без буквы “t”). Таким образом, на этапе инициализации пользователя система загружет вредоносный userinit.exe, т.к. вызов этого файла назначен в параметре UserInit ветки реестра (Пуск -> Выполнить -> regedit):
[HKEY_LOCAL_MACHINE\Software\Microsoft\W indows NT\CurrentVersion\Winlogon]
“UserInit” = “%System%\userinit.exe,”
Который в свою очередь совершает что-то нехорошее на компьютере и уже после своих черных дел запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы “t”).
Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.
Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует (добавлено: некоторые модификации вируса уже подкладывают в данную папку зараженный файл, поэтому…), необходимо его скопировать с установочного диска или с другого компьютера.
Добавлено в 2011. За полтора года мне повстречалось множество записей о всяческих разновидностях подобного вируса, который прописывает свой файл в Winlogon вместо userinit.exe – то есть, там указан файл вируса (имя файла может быть любое), который после отработки должен вызвать userinit.exe. Получается тоже самое, что и в примере выше: антивирус удаляет файл вируса и система не может начать сеанс, при том что настоящий userinit.exe может быть на своем месте и не быть испорченным. В таких случаях достаточно исправить значение параметра “UserInit” на
“C:\Windows\System32\userinit.exe,” (с запятой) в разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\Winlogon.
Для этого можно воспользоваться диском LiveCD, на котором обычно присутствует утилита для редактирования реестра на гостевом компьютере.
Подытожим. Для нормального начала сеанса пользователя и загрузки рабочего стола необходимо выполнение двух условий:
1. Указанный в реестре файл userinit.exe в качестве инициализатора сеанса;
2. Наличие оригинального файла userinit.exe в системной папке Windows.
Однако, на сегодняшний день вирусы уже не ограничиваются подменой одного только файла userinit.exe, их жертвами также могут стать и другие не менее важные системные файлы.
См. рекомендации для общих случаев в статье: Завершение сеанса при входе в систему [Часть 2]
В предыдущей статье Userinit.exe и “Завершение сеанса” при входе в систему мы рассматривали проблему на примере конкретного вируса, когда при включении компьютера вместо загрузки рабочего стола пользователь наблюдает завершение еще не начавшегося сеанса. С момента выхода статьи прошло не мало времени и можно констатировать факт, что на сегодняшний день существует множество вирусов, результатом действия которых является проблема “завершения сеанса”. В большинстве случаев это происходит в результате действия так называемых винлокеров (WinLock) о которых я писал здесь. В данной статье хочу поделиться общими рекомендациями по восстановлению работоспособности системы в подобной ситуации.
Суть проблемы заключается в том, что вирусы подменяют ключи реестра и файлы, необходимые для инициализации пользователя и загрузки рабочего стола. Исправить первое и второе нам поможет практически любой загрузочный диск Reanimator LiveCD. Это автономная операционная система, которая загружается непосредственно с компакт диска (или флешки) и включает в себя комплект программ для работы с гостевым компьютером. В частности, нам понадобится редактор реестра. Скачать образ LiveCD можно с любого более-менее популярного торрент-трекера. Надеюсь, с записью образа на диск проблем также не должно возникнуть. Вероятно, напишу как это сделать в следующих статьях. Пока будем считать, что мы уже загрузились с LiveCD. Также нам понадобятся файлы: winlogon.exe, userinit.exe, logonui.exe, taskmgr.exe, explorer.exe. Их можно найти на установочном диске Windows или скопировать с другого компьютера, например на флешку.
Итак, приступим к восстановлению системы:
1. Файловым менеджером (Проводник, Total Commander, MidnightCommander, etc.) открываем диск “С:” и удаляем содержимое папки System Volume Information. В данной папке хранятся старые “снимки” системы с копиями системных файлов. Удалением содержимого мы исключаем возможность восстановления вредоносных программ, которые могли там сохраниться.
2. Удаляем из папки C:\WINDOWS\system32\dllcache файлы (какие есть):
winlogon.exe
userinit.exe
logonui.exe
taskmgr.exe
explorer.exe
В данной папке Windows хранит копии системных файлов на случай сбоя системы, однако вирусы их могли подменить.
3. Необходимо перезаписать (с заменой) заранее подготовленные файлы:
С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
4. В меню “Пуск” находим редактор реестра (обычно в папке “Инструменты”) и запускаем. В редакторе реестра переходим в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon
В правой части редактора находим следующие параметры:
Shell – щелкаем на нем два раза левой кнопкой мыши и откроется окно редактирования параметра, если отличается исправляем на – explorer.exe
UIHost – должен быть таким – logonui.exe
Userinit – должен быть таким – C:\Windows\System32\Userinit.exe, (с запятой).
VpApplet – должен быть таким – rundll32 shell32,Control_RunDLL “sysdm.cpl”
5. Переходим в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Image File Execution Options
Находим и удаляем (если есть) подразделы: userinit.exe и explorer.exe
6. Переходим в раздел:
HKEY_CURRENT_USER\Software\Microsoft\Win dows NT\CurrentVersion\Devices
Если есть строковые параметры (REG_SZ): explorer.exe и userinit.exe – удаляем.
После этих действий перезагружаем компьютер, система должна запуститься с рабочим столом.
1. Загружаемся с Live CD и запускаем RegEdit из комплекта ERD Commander.
2. И проверяем соответствия ключей в этой ветке:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo ws NTCurrentVersionWinlogon
UserInit = "C:WINDOWSsystem32userinit.exe"
UIHost = "logonui.exe"
Shell = "Explorer.exe"
VmApplet = "rundll32 shell32,Control_RunDLL "sysdm.cpl""
Внимание! У вас нет прав для просмотра скрытого текста.
.
3. Если ключ не совпадает меняем его.
4. Проверяем существует ли эти файлы фактически.
5. Загружаемся в систему. Все должно работать.
6. Если что-то не работает воспользуйтесь SFC. Для этого потребуется установочный диск Windows, системные файлы будут переписаны оригиналами.
a) Идем в ПускВыполнить, вводим "cmd" и жмем Enter.
b) Вводим "sfc /scannow"
Завершение сеанса после логина
Клонировал Жесткий диск при помощи Acronis true image с 120гб жёсткого диска на 160гб жёсткий диск.
Блокировка сеанса пользователя после загрузки .
Нужно , что бы вся система загрузилась , но при этом весело окно ввода пароля для входа в сеанс.
После загрузки windows завершение сеанса (XP SP2)
Последствия порно-баннера, баннер убрал, но теперь при загрузке windows xp сразу завершение сеанса.
После завершения сеанса компьютер автоматически включается повторно.
После завершения сеанса компьютер автоматически включается повторно. Все перепробовал.
08.09.2014, 20:31 |
08.09.2014, 20:31 |
Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь. Автоматический перезапуск 1С в случае завершения сеанса Создать батник для завершения сеанса в Windows 7 Узнать дату завершения работы сеанса пользователя в программе Представьте себе такую ситуацию: у вас установлена ОС Windows с несколькими пользователями. И вот в один день вы подхватываете вирус-баннер, блокирующий вашу систему. После успешного лечения компьютера вы перезагружаете компьютер, в процессе загрузки появляется окно выбора пользователей, вы выбираете нужного вам, и… сеанс связи автоматически завершается, снова возвращаясь к окну выбора пользователей. То же самое происходит и при попытке войти в систему под любым другим зарегистрированным пользователем. Возникает один из двух извечных вопросов: “Что делать?” Ниже я опишу вам способ восстановления работоспособности Windows. Для начала вам понадобится любой LiveCD, желательно с комплектом ERD Commander. Скачать его можно из Интернета и записать на CD-"болванку". Вставьте LiveCD в CD-Rom, перезагрузитесь и войдите в BIOS, где вам необходимо выставить загрузку с CD и вновь перезагрузиться теперь ваш компьютер запустится с диска - вы попадете в ОС. Теперь приступим к восстановлению системы. Сначала необходимо отключить восстановление системы, чтобы после запуска ПК на нем не смог восстановиться и удалённый вирус. Для этого необходимо удалить всё содержимое папки C: => System Volume Information. Теперь идите вC: => WINDOWS => system32 => dllcache, найдите там файлы userinit.exe и explorer.exe и удалите их. В принципе вы можете полностью очистить эту папку – ни чего страшного не произойдет, так как в этой папке ОС Windows хранит копии системных файлов на случай сбоя системы. Затем проверьте в С: => WINDOWS => system32 наличие файлов: winlogon.exe, userinit.exe и logonui.exe. Так же ищите вC: => WINDOWS файл explorer.exe. Если у вас будет возможность, то постарайтесь скопировать эти файлы с другого, не зараженного, компьютера и заменить ими существующие. Просто довольнее часто бывает, что вирусы подменяют собой эти файлы, поэтому их нужно заменить. В том случае, если вы по какой либо причине нигде не нашли эти файлы, то вы можете скачать их с Интернета. Теперь займёмся редактором реестра, в котором необходимо найти все записи, которые могли остаться после вируса и мешающие нормальной загрузке вашего компьютера. С LiveCD добраться до реестра компьютера с рухнувшей системой не так просто. Тут есть два выхода: - если в загрузочный диск уже встроены утилиты для работы с удаленным реестром, то проблем не возникнет, так как достаточно просто запустить такую программу и начать работу; - если таких программ на вашем LiveCD, то можно воспользоваться стандартным редактором реестра, применив функцию загрузки куста. Об этом поподробнее ниже. Надеюсь, что на вашем LiveCD найдутся программы из комплекта ERD Commanderдля редактирования реестра. На любом диске их можно найти обычно здесь: Идите в Пуск => Администрирование (Инструменты администрирования (Administrative Tools)) => Редактор реестра (Regedit) - должно открыться стандартное окно редактора реестра, в котором уже будет доступно редактирование Windows. В реестре идите в ветку HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT => CurrentVersion => Winlogon В правой части окна реестра ищите параметры: Shell – дважды кликните левой кнопкой мыши - откроется окно с цифровым значением данного параметра – оно должно быть – Explorer.exe. Если оно другое – то поменяйте его на это. UIHost – значение данного параметра должно быть logonui.exe (при необходимости – поменяйте ваше на это). Userinit – значение данного параметра должно быть C:\WINDOWS\SYSTEM32\Userinit.exe, (в конце обязательно должна быть запятая), при необходимости – поменяйте ваше на это). VpApplet – значение данного параметра должно быть rundll32 shell32,Control_RunDLL “sysdm.cpl” (при необходимости – поменяйте ваше на это). Теперь идите в ветку HKEY_LOCAL_MACHINE => SOFTWARE => Microsoft => Windows NT => CurrentVersion => Image File Execution Options. Кликните по “+” рядом с этой веткой и в открывшемся списке найдите пункты: explorer.exe и userinit.exe. Оба этих пункта можете смело удалить. Теперь идите в ветку HKEY_CURRENT_USER => Software => Microsoft => Windows NT => CurrentVersion => Devices.Здесь так же поищите REG_SZ-параметры explorer.exe и userinit.exe и, в случае их обнаружения, удалите их. Теперь перезагрузитесь, зайдите в BIOS и установите загрузку с жёсткого диска и загрузитесь в обычном режиме и зайдите под нужным вам пользователем – всё должно получиться нормально. Вновь Windows восстановлена после непредвиденного завершения работы? Как исправить данную проблему и от чего она зависит? Что делать, если появляется "голубой экран смерти" и вы боитесь, что он останется навсегда? Данная статья вам в помощь! Почему так бывает?Если никаких предпосылок к появлению голубого экрана не было, то вы задаетесь вопросом, какова причина его возникновения? На самом деле их довольно много, начиная от неисправности составляющих компьютера и заканчивая разгоном видеокарты. Чаще всего система запускает аварийный режим, если проблема достигает критической отметки. Тогда происходит перезагрузка, после чего в некоторых случаях требуется восстановление всех ранее существующих параметров. Причины:
Как видите, причин действительно много. Чтобы разобраться и найти конкретную, потребуется время и полная диагностика составляющих системы. Восстановление Windows xp, 7, 8, 10Обновить систему можно несколькими способами:
Что делать, если система не может запуститься сама?Window 7, точка восстановления не может загрузиться вновь? Очень часто такое бывает у устаревших систем. Как восстановить систему в данном случае? Такие варианты:
После успешного открытия системы ноутбука или компьютера, обновите его до новейшей версии. В некоторых случаях, если ноутбук очень стар, это невозможно. Windows восстановлена после непредвиденного завершения работы. Bluescreen — что делать?Разберитесь, почему возникла проблема или попросите помощь у более квалифицированного человека в данной сфере. Если у "голубого экрана смерти" появилась причина, то вы будете знать, как ее устранить:
Когда вы разрешите системе вносить изменения, на вкладке "Общие", найдите "Обычный запуск". Далее отключите службы Майкрософт в нижней части экрана и "Автозагрузку". Примените настройки и наблюдайте перезагрузку системы. ЗаключениеГолубой экран и перезагрузка ноутбука — следствие критической проблемы. Но не стоит отчаиваться, если система посчитала перезагрузку самым важным. Обратитесь к специалисту или самостоятельно восстановление систему. Если Windows восстановлена после непредвиденного завершения работы, то это не конец, а повод лишний раз проверить состояние своего ПК! После лечение компьютера от Trojan.Winlock при попытке залогиниться (вводе логина и пароля) происходит завершение сеанса. Обычно это результат "корябания" UserInit-а вирусом. Он переименовывает настоящие файлы userinit.exe или winlogon.exe на какие-то другие, а сам встает на их место, запуская их сразу же после себя. Антивирусы лечат, удаляя файл, не переименовав оригиналы. Если же они были удалены то, естественно, не восстановив. К сожалению ни безопасный режим, ни загрузка последней удачной конфигурации не дает эффекта. Остается только вариант запуска RegEdit из комплекта ERD Commander-а, позволяющего редактировать реестр ОС не загружаясь ее. 1. Загружаемся с диска с ERD Commander-ом, запускаем RegEdit. 2. И проверяем правильность ключей в ветке рееста HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon: Всякие бессмысленные ключи типа a3fs8543 просто удаляем – это тоже ошметки вируса. 3. Заменяем все упомянутые файлы в папочке Windows на файлы из дистрибутива Windows, т.к. мы не можем гарантировать того, что файлы в системе настоящие. 5. Перезагружаем и пытаемся залогинеться. 6. После того как войдем в систему делаем проверку системных файлов Windows с помощью команды sfc /scannow Долгое время завершения работы компьютера относится к категории проблем, которые не кажутся важными, пока не начинают мешать. В нормальном состоянии система выключается не менее чем за полминуты — большее время означает проблемы. Почему долго выключается компьютер с Windows 7Проще всего искать причину неожиданно возникшей проблемы, вспомнив свои последние действия. Установка нового программного обеспечения, замена деталей компьютера, аварийное или некорректное выключение могли послужить причиной внутреннего конфликта системы, на разрешение которого уходит дополнительное время. Поняв, что было изменено, легче определить, как исправить поломку.
Вирусы могут стать причиной многих бед системы, в том числе и долгого её выключения. Работающая вредоносная программа очень неохотно выгружается из памяти, блокируя процесс выключения. Обычные приложения, повреждённые вирусами, начинают работать некорректно, идя на конфликт с другими программами или компонентами Windows. Обновление системы, установка новых драйверов, инсталляция свежих версий программных продуктов не всегда проходит гладко. Ошибки разработчиков, сбой при копировании установочных пакетов, неверные настройки при инсталляции могут стать причиной конфликтов приложений между собой, зависанию программ и всей системы. Работающее приложение может запретить системе своё принудительное закрытие, требуя сознательного действия пользователя. Например, это может быть активное окно с вопросом о сохранении внесённых изменений. Зависшая программа также воспринимается системой как работающая, но не отвечающая, поэтому компьютер может не отключаться, пока пользователь не определится, завершить ли её аварийно или продолжить ожидание. При выключении Windows 7 активно использует свободное дисковое пространство для хранения промежуточных файлов. Нехватка свободного места вынуждает систему многократно использовать оставшийся резерв, что значительно замедляет её работу. Виртуальная память обновляется при выключении компьютера. Нехватка места, повреждение файла подкачки или неправильные его настройки могут сделать этот процесс значительно длиннее. Операционная система и сама может стать причиной долгого выключения компьютера. За определённый срок накапливаются ошибки. Установка и удаление программ, создание множества точек восстановления, ошибки разработчика и повреждение системных файлов могут постепенно привести к заметному замедлению работы. Как исправить ситуациюДля начала стоит попробовать исправить проблему простыми способами, не требующими серьёзного вмешательства в работу компьютера. Возможно, завершение работы компьютера замедляет работа одного из запущенных приложений. Закройте все вручную, после чего вновь попробуйте завершить работу. Если всё наладилось, возможно, одна из программ работает нестабильно. Найти её можно простым перебором, убирая из памяти запущенные приложения по одному. Причина также может скрываться не в какой-то отдельной программе, а в большом количестве работающих их одновременно. В таком случае следует вовремя выгружать из памяти уже ненужные приложения. Если проверка обнаружила и удалила вирусы, но компьютер продолжает долго выключаться, причиной может быть повреждение излеченных файлов. Поэтому лучше заново переустановить приложения, в которых антивирус обнаружил вредоносный код. Проблема могла возникнуть из-за внесённых изменений, поэтому стоит попробовать вернуть систему в прежнее состояние. Удалите недавно установленные программы и обновления, откатите драйверы, воспользуйтесь точкой восстановления системы. Разработчики программного обеспечения постоянно находят уязвимости своих продуктов и рассылают пользователям обновления с исправлениями. Вполне возможно, что проблема разрешится простым обновлением драйверов, системы и основных используемых программ. Также может помочь установка альтернативного программного обеспечения других разработчиков. Специальные утилиты, предназначенные для удаления временных файлов, остатков деинсталлированных программ, лишних драйверов почистят систему и повысят её стабильность. Заслуженным авторитетом пользуются CCleaner и DriveCleanup, распространяемые бесплатно. Windows для оптимальной работы просит иметь на диске свободными около пяти гигабайт. Если на компьютере доступного пространства меньше, будет полезным удалить лишние файлы.
Период, в течение которого компьютер не отключает зависшую программу, а ждёт её ответа, задаётся параметрами системы. Уменьшив этот показатель и установив автоматическое завершение, можно существенно ускорить выключение. В правой области окна находятся установленные параметры операционной системы. Нам нужны: HungAppTimeout (количество миллисекунд, по истечении которых программа считается зависшей), WaitToKillServiceTimeout (временная задержка выгрузки зацикленного приложения) и AutoEndTasks (разрешение отключать подвисшие приложения автоматически). Теперь нужно присвоить каждому новому параметру нужное имя и установить значение:
Осталось лишь перезагрузиться, чтобы изменения вступили в силу. Теперь Windows сама будет отключать подвисшие программы, выключение должно ускориться. Ярлык для прерывания зависших приложенийУправление питанием USB-концентратора (для ноутбуков)Экономия электроэнергии и заряда батареи вынуждает систему отключать временно неиспользуемые устройства. К сожалению, эта функция не всегда работает корректно. Временное отключение питания USB-концентратора может привести к сбою в работе подключённых устройств, а в дальнейшем к медленному выключению компьютера. Если есть возможность пожертвовать некоторой экономией батареи за счёт повышения стабильности системы, можно запретить Windows обесточивать концентратор. Отказ от чистки виртуальной памятиНекоторую экономию времени при завершении работы компьютера даст отказ от чистки используемой системой виртуальной памяти, особенно при нестабильном функционировании файла подкачки. Это делается с помощью редактора локальной групповой политики. Такая неприятная ситуация обычно связана со сбоем работы самой Windows, вызванным либо некорректным завершением работы, либо использованием пиратской копии системы, заблокированной разработчиком при скачивании обновлений. Для стабильной работы операционной системы важно правильно выключать компьютер, давать возможность Windows выполнить все необходимые процедуры. Нормально работать компьютеру не позволяет закачка и установка обновлений, поэтому для решения проблемы нужно загрузиться в безопасном режиме, где эта служба отключена. Аппаратно перезагружаем компьютер: нажимаем Reset либо держим несколько секунд кнопку включения ноутбука. Как только начинает загружаться BIOS, следует нажать функциональную клавишу F8. Теперь нам необходимо отключить систему загрузки обновлений. Если причина была определена верно, компьютер должен успешно загрузиться. Для предотвращения повтора такой проблемы в случае использования нелицензионной версии Windows 7 обновление системы лучше оставить отключённым. Для легальной копии можно через некоторое время этот параметр вернуть. Из появившегося списка точек восстановления выбираем нужную нам, то есть созданную во время стабильной работы Windows 7. Видео: что делать, если компьютер завис на завершении работыПричины, по которым компьютер с установленной Windows 7 может виснуть при выключении, могут относиться к сбоям аппаратным, системным, программным, к намеренным действиям вирусов и антипиратских программ. Каждый вариант предусматривает свой способ решения проблемы, однако общим остаётся необходимость ухода за компьютером, поддержание порядка в нём на всех уровнях. При выполнении этих условии компьютер будет быстро выключаться и не будет доставлять вам проблем. Что-то случилось, что компьютер стал очень долго завершать работу при выключении. Виной всему открытые программы, которые Windows 7 сама закрывать принудительно отказывается. У вас есть возможность заставить программы автоматически завершать свою работу когда вы выключаете компьютер не нажимая кнопку "Принудительное завершение компьютера". Этот параметр находится в разделе реестра Windows 7 HKEY_CURRENT_USERControl PanelDesktop . Значение этого параметра "1" позволяет операционной системе автоматом завершать работу процессов без нажатия кнопки "Принудительное завершение работы". Если вы выберете значение "0" этого параметра – то программы завершаться автоматически не будут. Или импортируйте следующий файл в реестр Windows 7: Скачать файл реестра для импорта настроек выключения компьютера Читайте также:
|