Завершение сеанса после вируса

При входе в систему, сразуже завершается сеанс. Далее предлагается выбрать пользователя и войти - но при любой попытке войти в ситему - "Загрузка личных настороек . " и сразу "Сохранение . " и завершение сеанса - в итоге не возможно войти в сисиему и сделать откат на предыдущую контрольную точку.

1. Проверьте параметр в реестре:
Код:

"Userinit"="C:\WINDOWS\system32\user init.exe,"
Значение должно быть именно таким, с запятой в конце (буква системного диска может отличаться).
Также убедитесь в наличии файла Userinit.exe в папке \WINDOWS\system32

Удалите этот раздел (если существует):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Image File Execution Options\userinit.exe

2. Если проблема появилась после изменения таблицы разделов жесткого диска, воспользуйтесь статьей:
Не удается войти в систему после изменения буквы диска с загрузочным разделом

Последнее время на сайт приходят пользователи по запросу “userini.exe”. Скорее всего, это люди столкнувшиеся с вирусом ntos.exe или подобным, который обсуждался на форуме – здесь. Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.

Настоящий userinit.exe, который находится в системной папке Windows (C:\Windows\System32\), переименовывается вирусом в userini.exe (без буквы “t”). Таким образом, на этапе инициализации пользователя система загружет вредоносный userinit.exe, т.к. вызов этого файла назначен в параметре UserInit ветки реестра (Пуск -> Выполнить -> regedit):
[HKEY_LOCAL_MACHINE\Software\Microsoft\W indows NT\CurrentVersion\Winlogon]
“UserInit” = “%System%\userinit.exe,”
Который в свою очередь совершает что-то нехорошее на компьютере и уже после своих черных дел запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы “t”).
Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.
Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует (добавлено: некоторые модификации вируса уже подкладывают в данную папку зараженный файл, поэтому…), необходимо его скопировать с установочного диска или с другого компьютера.
Добавлено в 2011. За полтора года мне повстречалось множество записей о всяческих разновидностях подобного вируса, который прописывает свой файл в Winlogon вместо userinit.exe – то есть, там указан файл вируса (имя файла может быть любое), который после отработки должен вызвать userinit.exe. Получается тоже самое, что и в примере выше: антивирус удаляет файл вируса и система не может начать сеанс, при том что настоящий userinit.exe может быть на своем месте и не быть испорченным. В таких случаях достаточно исправить значение параметра “UserInit” на
“C:\Windows\System32\userinit.exe,” (с запятой) в разделе реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows NT\CurrentVersion\Winlogon.
Для этого можно воспользоваться диском LiveCD, на котором обычно присутствует утилита для редактирования реестра на гостевом компьютере.
Подытожим. Для нормального начала сеанса пользователя и загрузки рабочего стола необходимо выполнение двух условий:
1. Указанный в реестре файл userinit.exe в качестве инициализатора сеанса;
2. Наличие оригинального файла userinit.exe в системной папке Windows.
Однако, на сегодняшний день вирусы уже не ограничиваются подменой одного только файла userinit.exe, их жертвами также могут стать и другие не менее важные системные файлы.
См. рекомендации для общих случаев в статье: Завершение сеанса при входе в систему [Часть 2]

В предыдущей статье Userinit.exe и “Завершение сеанса” при входе в систему мы рассматривали проблему на примере конкретного вируса, когда при включении компьютера вместо загрузки рабочего стола пользователь наблюдает завершение еще не начавшегося сеанса. С момента выхода статьи прошло не мало времени и можно констатировать факт, что на сегодняшний день существует множество вирусов, результатом действия которых является проблема “завершения сеанса”. В большинстве случаев это происходит в результате действия так называемых винлокеров (WinLock) о которых я писал здесь. В данной статье хочу поделиться общими рекомендациями по восстановлению работоспособности системы в подобной ситуации.
Суть проблемы заключается в том, что вирусы подменяют ключи реестра и файлы, необходимые для инициализации пользователя и загрузки рабочего стола. Исправить первое и второе нам поможет практически любой загрузочный диск Reanimator LiveCD. Это автономная операционная система, которая загружается непосредственно с компакт диска (или флешки) и включает в себя комплект программ для работы с гостевым компьютером. В частности, нам понадобится редактор реестра. Скачать образ LiveCD можно с любого более-менее популярного торрент-трекера. Надеюсь, с записью образа на диск проблем также не должно возникнуть. Вероятно, напишу как это сделать в следующих статьях. Пока будем считать, что мы уже загрузились с LiveCD. Также нам понадобятся файлы: winlogon.exe, userinit.exe, logonui.exe, taskmgr.exe, explorer.exe. Их можно найти на установочном диске Windows или скопировать с другого компьютера, например на флешку.
Итак, приступим к восстановлению системы:
1. Файловым менеджером (Проводник, Total Commander, MidnightCommander, etc.) открываем диск “С:” и удаляем содержимое папки System Volume Information. В данной папке хранятся старые “снимки” системы с копиями системных файлов. Удалением содержимого мы исключаем возможность восстановления вредоносных программ, которые могли там сохраниться.
2. Удаляем из папки C:\WINDOWS\system32\dllcache файлы (какие есть):
winlogon.exe
userinit.exe
logonui.exe
taskmgr.exe
explorer.exe
В данной папке Windows хранит копии системных файлов на случай сбоя системы, однако вирусы их могли подменить.
3. Необходимо перезаписать (с заменой) заранее подготовленные файлы:
С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
4. В меню “Пуск” находим редактор реестра (обычно в папке “Инструменты”) и запускаем. В редакторе реестра переходим в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon

В правой части редактора находим следующие параметры:
Shell – щелкаем на нем два раза левой кнопкой мыши и откроется окно редактирования параметра, если отличается исправляем на – explorer.exe

UIHost – должен быть таким – logonui.exe

Userinit – должен быть таким – C:\Windows\System32\Userinit.exe, (с запятой).

VpApplet – должен быть таким – rundll32 shell32,Control_RunDLL “sysdm.cpl”

5. Переходим в раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Image File Execution Options

Находим и удаляем (если есть) подразделы: userinit.exe и explorer.exe
6. Переходим в раздел:
HKEY_CURRENT_USER\Software\Microsoft\Win dows NT\CurrentVersion\Devices

Если есть строковые параметры (REG_SZ): explorer.exe и userinit.exe – удаляем.
После этих действий перезагружаем компьютер, система должна запуститься с рабочим столом.
1. Загружаемся с Live CD и запускаем RegEdit из комплекта ERD Commander.
2. И проверяем соответствия ключей в этой ветке:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo ws NTCurrentVersionWinlogon
UserInit = "C:WINDOWSsystem32userinit.exe"
UIHost = "logonui.exe"
Shell = "Explorer.exe"
VmApplet = "rundll32 shell32,Control_RunDLL "sysdm.cpl""

Внимание! У вас нет прав для просмотра скрытого текста.
.

3. Если ключ не совпадает меняем его.
4. Проверяем существует ли эти файлы фактически.
5. Загружаемся в систему. Все должно работать.
6. Если что-то не работает воспользуйтесь SFC. Для этого потребуется установочный диск Windows, системные файлы будут переписаны оригиналами.
a) Идем в ПускВыполнить, вводим "cmd" и жмем Enter.
b) Вводим "sfc /scannow"

Типичные причины того, что это происходит — аппаратные (может проявиться после установки или обновления драйверов, подключения нового оборудования) или программные (определенные службы или программы не удается закрыть при выключении компьютера), по порядку рассмотрим наиболее вероятные решения проблемы.

Примечание: в экстренных случаях вы всегда можете полностью выключить компьютер или ноутбук, нажав и удерживая кнопку включения в течение 5-10 секунд. Однако, этот способ потенциально опасен и использовать его следует только когда других вариантов нет.

Примечание 2: по умолчанию компьютер завершает все процессы через 20 секунд, даже если они не отвечают. Таким образом, если компьютер у вас все-таки выключается, но долго, то нужно искать программы, которые ему мешают (смотрите второй раздел статьи).

Управление электропитанием ноутбука

Данный вариант чаще подходит в тех случаях, когда не выключается ноутбук, хотя, в принципе, может помочь и на стационарном ПК (Применимо в Windows XP, 7, 8 и 8.1).

Зайдите в диспетчер устройств: самый быстрый способ сделать это — нажать клавиши Win + R на клавиатуре и ввести devmgmt.msc после чего нажать Enter.

Для каждого из них выполните следующие действия:

После этого ноутбук (ПК), возможно, будет выключаться нормально. Тут следует отметить, что указанные действия могут привести к незначительному уменьшению времени автономной работы ноутбука.

Программы и службы, мешающие выключению компьютера

В некоторых случаях, причиной того, что компьютер не выключается могут послужить различные программы, а также службы Windows: при завершении работы, операционная система завершает все эти процессы, а если какой-то из них не отвечает, то это может вылиться в зависание при отключении.

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

17.01.2017 в 00:02

17.01.2017 в 10:16

06.03.2018 в 00:18

Здравствуйте! Необходимо перепрошить биос.

11.02.2017 в 20:35

Доброго времени всем!
У меня была проблема с выключением ноутбука, после того как я установил 10-ку.
Я порылся в инете, и нашёл прекрасную программу, котроая выключает мой ноутбук.
Называется Switch Off. Нашёл такую, которую можно переставить на русский язык.
Версия 341, но Виндовс 10 отключает без проблем

12.02.2017 в 09:25

25.03.2017 в 22:04

А если нет клавиши Win?

26.03.2017 в 06:05

Т.е. нет клавиши с эмблемой Windows?

26.03.2017 в 17:17

Доброго времени суток! Прошу помогите! Практически все волосы на голове выдрала. Ноутбук samsung NP350V5C, в один прекрасный момент перестал выключаться, висит завершение работы и все… Журнал — чистый, ошибок нет.

27.03.2017 в 08:42

28.03.2017 в 13:28

Win 7, систему пришлось переустановить, после обновления KB2999226, которое само собой устанавливается ноутбук перестаёт выключаться, до подключения к вай-фай все работает отлично, выключается как положено — без проблем. После обновления этого, не выключается. Хотела систему откатить до обновления — не может вступить в силу откат т.к. ноутбук сам нормально перезагрузится не может.

13.11.2017 в 20:30

17.04.2017 в 18:00

18.04.2017 в 10:49

У вас, похоже, это все-таки штатная задача, выполняемая Windows с ошибкой. Точного рецепта решить проблему не имею, но пишут (гугл подсказывает), что это какая-то задача в планировщике заданий Windows в разделе Windows — Customer Experience Improvement. И ее можно отключить (но у себя посмотрел — ничего подобного там нет).

24.04.2017 в 22:34

Компьютер просто не выключается (вин 10). Выключается монитор, но системник продолжает работать. Тоже самое, когда уходит в сон.

25.04.2017 в 09:23

02.07.2017 в 12:32

Помогите! 10 не выключается,зависло на завершение работы и все, не могу ничего сделать

03.07.2017 в 10:11

18.07.2017 в 02:19

У меня не выключается win 7, что делать на сочетание клавиш вин+R не реагирует, что делать. Все началось после того как я по глупости удалила какое то обновление framework.

18.07.2017 в 07:49

А что именно происходит при попытке выключения? Ну и можно обратно установить необходимые версии net framework, хотя не похоже что дело в них…

18.02.2018 в 08:44

Здравствуйте. Компьютер не новый времён ддр2. Раньше все нормально стало, но сейчас не выключается компьютер. После того как жмешь на выключение, монитор погас, вентиляторы работают.. проблема появилась на вин ХР, переустановил на вин 7.. проблема не исчезла
Грешу на процессор или блок питания.. конденсаторы на материнской вроде все целые

18.02.2018 в 11:15

Здравствуйте. Тут вероятнее всего БП или кондёры (хотя могут и другие электронные компоненты на МП), т.е. в первую очередь на них обратить внимание. Процессор — сильно вряд ли.

21.02.2018 в 17:32

У меня виндоус 7 не включался вообще. И соответственно я не мог установить обновления. Заметил что обновления в центре обновлений скачиваются но зависает на этапе создания точки восстановления. Мучился неделю. В общем. Я скачал panda cloud антивирусный сканер. Загрузился в безопасном режиме с сетевыми драйверами и запустил проверку. В обычном режиме сканер зависает. Нашло 2 трояна и один tool bar какой то. Удалил сканер все. И теперь все работает и обновления все установились.
П.с. меня висел в диспетчера задач подозрительный процесс dlchosts и не выгружался оттуда никак. Теперь его нет и все работает и ноут выключается.

03.04.2018 в 23:34

04.04.2018 в 08:18

Пытались переустановить Windows — не получилось? что именно происходит?
А проблемы с перезагрузкой, спящим режимом и т.д. могут быть или из-за поврежденных системных файлов или из-за отсутствия оригинальных драйверов чипсета и управления электропитанием (с сайта производителя ноутбука).
И: а как вы выключаете его? Просто нажимая кнопку? Или удерживая её долгое (секунд 10) время? Чтобы зайти в биос нужно второе, иначе он может у вас просто не выключается по факту.

05.06.2018 в 13:16

Добрый день, после соблюдения первого пункта компьютер не выключился, выключили на кнопку принудительно, но теперь он включается и остаётся чёрный экран

16.06.2018 в 14:29

Добрый день! При прямом доступе ноутбука к току, ноутбук включается автоматически с белым экраном, далее при нажатии на кнопку включения ноутбука, ноутбук переходит в нормальным рабочий режим, экран и все другие функции проявляют себя нормальным образом. При выключении ноутбука нажатием на кнопку питания, экран становится белым, а выключение не происходит. При этом появляется сильное жужжание кулера. Как будто процессор загрузили на максимум. Повторный нажатием на клавишу питания ноутбук переходит в свой рабочий режим, но не выключается.

12.09.2018 в 16:25

Здравствуйте, подскажите пожалуйста. Мой ноутбук не выключается, но при этом экран черный.

13.09.2018 в 11:57

После чего такое стало происходить, есть соображения? Способы из статьи опробованы?

26.12.2018 в 12:55

В моём случае помогло отключение 360 Total Security

30.01.2019 в 19:55

Всем доброго времени суток! У меня такая проблема: на ноуте с 10 виндой повисла папка (пишет не отвечает и даже через диспетчер файлов пробовал перезагрузить и снять задачу). Ну подумал, что если поставлю в режим сна, то потом приведу его в чувства , а потом вырублю. Но нет! Просто чёрный экран (выключенный), ноут работает, индикаторы горят. Вообще не знаю что делать!

31.01.2019 в 11:02

В такой ситуации можно нажать и удерживать кнопку питания секунд 10-15, он выключится полностью. Только злоупотреблять таким методом не стоит — это потенциально нежелательное действие только для критических ситуаций.

06.04.2019 в 23:08

26.01.2020 в 11:37

Большое спасибо! Для меня ваш сайт самый лучший. Огромное количество проблем смог решить с помощью ваших инструкций. Плюс лучше стал разбираться в компьютере.

26.01.2020 в 11:45

Спасибо за отзыв!

17.02.2020 в 11:07

Вот такая проблема:
Сначала, через несколько дней после установки винды, был пойман вирус а-ля "отпратьте 100р. на такой-то номер и получите код". Винда не грузилась из-за него. Попробовал так, сяк, поискал в инете коды разблокировки - не нашёл. Услышал про Лив СД. Скачал, записал, запустил на больной машине. Он, live cd, успешно завёлся, просканил диск, нашёл вирусов несколько, вылечил (по его словам). Ну, думаю, всё хорошо, перезагружаю.
И вот, винда вроде нормально стартует, полоска бегущая, потом "Добро пожаловать", а потом. как бы это объяснить правильно. Экран такой, на нём выбор пользователя (на той машине он только один). Типа, щёлкни мышкой и войди. Вот, щёлкаю, он под именем пользователя пишет что-то вроде "применение личных параметров", а потом, буквально через секунду, "завершение сеанса. ". Там же, под именем пользователя. В результате остаёшься на том же экране. Чё такое, не могу понять. Может, кто-нибудь в курсе? Заранее спасибо!

Забанен за флуд

Машины нет. но есть диск, с которого устанавливалась винда.

Тут много где про userinit пишут. и ещё советуют кое-какие ключи проверить. Думаю, в этом может быть смысл. А докторвебный ливСД умеет реестр редактировать?

Забанен за флуд

А докторвебный ливСД умеет реестр редактировать?

Решил проблему. Если кому интересно:

Во-первых, файл userinit.exe взял с установочного диска (то есть, взял оттуда userinit.ex_ и сделал из него userinit.exe командой expand) и положил на больной компьютер. После этого винда грузиться начала, но показывала пустой рабочий стол с мышью.

Дальше я пошёл смотреть реестр. Там нашёлся ключ . \Winlogon\Shell имеющий какое-то подозрительное значение. Запилил туда "explorer.exe". И, о чудо, заработало.

В итоге я понял, что всё зло, творимое блокировщиками винды и антивирями, пытающимися их лечить, заключается в файле userinit и ключах Winlogon.

Решил проблему. Если кому интересно:

Забанен за флуд

Что имеется ввиду под фразой: "(то есть, взял оттуда userinit.ex_ и сделал из него userinit.exe командой expand)"? В остальном, кажется, разобрался.

Забанен за флуд

А мне вот ничего не помогло. ((((
перезалил userinit & taskmgr с рабочей машины винда на кот. установлена с того же диска и нифига.
дальше меню выбора профайла пользователя не идет
может еще чего залить? ))))
до ключей реестра, соответственно, не добрался

И вот, винда вроде нормально стартует, полоска бегущая, потом "Добро пожаловать", а потом. как бы это объяснить правильно. Экран такой, на нём выбор пользователя (на той машине он только один). Типа, щёлкни мышкой и войди. Вот, щёлкаю, он под именем пользователя пишет что-то вроде "применение личных параметров", а потом, буквально через секунду, "завершение сеанса. ". Там же, под именем пользователя. В результате остаёшься на том же экране. Чё такое, не могу понять. Может, кто-нибудь в курсе? Заранее спасибо!

Во-первых, файл userinit.exe взял с установочного диска (то есть, взял оттуда userinit.ex_ и сделал из него userinit.exe командой expand) и положил на больной компьютер. После этого винда грузиться начала, но показывала пустой рабочий стол с мышью.

Дальше я пошёл смотреть реестр. Там нашёлся ключ . \Winlogon\Shell имеющий какое-то подозрительное значение. Запилил туда "explorer.exe". И, о чудо, заработало.
В итоге я понял, что всё зло, творимое блокировщиками винды и антивирями, пытающимися их лечить, заключается в файле userinit и ключах Winlogon.

Еще taskmgr.exe на всякий случай из дистрибутива замените.

viksid (12.09.2011 - 19:36) писал:

Mikolate (12.09.2011 - 19:46) писал:

Ясность - это одна из форм полного тумана

Отдайте мне трибуну! Ща я говорить буду!

Mikolate (13.09.2011 - 09:51) писал:

lunik (13.09.2011 - 22:15) писал:

ELpH (13.09.2011 - 22:23) писал:

lunik (13.09.2011 - 22:15) писал:

Счастливые слюноотсосы

Все просто.
Ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ предназначена для управления процессами, в частности для их отладки.
Если в ключе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe стоит строковый параметр Debugger, то при запуске процесса userinit.exe стартует не он, а исполняемый файл, указанный в значении этого параметра.
Так работает, например, Process Explorer от Руссиновича, который, как известно, может подменять стандартный диспетчер задач. Да и много кто еще.

Nec Deus intersit!

silver1957 (05.12.2011 - 11:27) писал:

Sui juris

В сети одна тётя отписала

ВСЕМ ПОСТРАДАВШИМ!
У меня всё получилось!
Мой муж тоже одарил наш комп баннером на черном фоне,там предлагалось подарить какому-то чмошнику с № 9853134551 МТС 400 руб.и типа будет вам счастье ввиде кода на чеке от терминала. Да с хрена ли! Промучалась правда часов несколько,но оно того стоило! (я вообще чайник в компах,но. упрямая:))))
Так вот,у нас ничего не работало,ни безопасный режим-там тоже был баннер,ни клава,ни мышь,короче ничего. У меня получилось следующим образом:

Читайте также: