Завершение сеанса при входе в систему [Часть 2]

Баги 09.05.2018

В предыдущей статье Userinit.exe и “Завершение сеанса” при входе в систему мы рассматривали проблему на примере конкретного вируса, когда при включении компьютера вместо загрузки рабочего стола пользователь наблюдает завершение еще не начавшегося сеанса. С момента выхода статьи прошло не мало времени и можно констатировать факт, что на сегодняшний день существует множество вирусов, результатом действия которых является проблема «завершения сеанса». В большинстве случаев это происходит в результате действия так называемых винлокеров (WinLock) о которых я писал здесь. В данной статье хочу поделиться общими рекомендациями по восстановлению работоспособности системы в подобной ситуации.

Суть проблемы заключается в том, что вирусы подменяют ключи реестра и файлы, необходимые для инициализации пользователя и загрузки рабочего стола. Исправить первое и второе нам поможет практически любой загрузочный диск Reanimator LiveCD. Это автономная операционная система, которая загружается непосредственно с компакт диска (или флешки) и включает в себя комплект программ для работы с гостевым компьютером. В частности, нам понадобится редактор реестра. Скачать образ LiveCD можно с любого более-менее популярного торрент-трекера. Надеюсь, с записью образа на диск проблем также не должно возникнуть. Вероятно, напишу как это сделать в следующих статьях. Пока будем считать, что мы уже загрузились с LiveCD. Также нам понадобятся файлы: winlogon.exe, userinit.exe, logonui.exe, taskmgr.exe, explorer.exe. Их можно найти на установочном диске Windows или скопировать с другого компьютера, например на флешку.

Итак, приступим к восстановлению системы:

1. Файловым менеджером (Проводник, Total Commander, MidnightCommander, etc.) открываем диск «С:» и удаляем содержимое папки System Volume Information. В данной папке хранятся старые «снимки» системы с копиями системных файлов. Удалением содержимого мы исключаем возможность восстановления вредоносных программ, которые могли там сохраниться.

2. Удаляем из папки C:\WINDOWS\system32\dllcache файлы (какие есть):

winlogon.exe
userinit.exe
logonui.exe
taskmgr.exe
explorer.exe

В данной папке Windows хранит копии системных файлов на случай сбоя системы, однако вирусы их могли подменить.

3. Необходимо перезаписать (с заменой) заранее подготовленные файлы:

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe

4. В меню «Пуск» находим редактор реестра (обычно в папке «Инструменты») и запускаем. В редакторе реестра переходим в раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

В правой части редактора находим следующие параметры:

Shell – щелкаем на нем два раза левой кнопкой мыши и откроется окно редактирования параметра, если отличается исправляем на – explorer.exe

UIHost – должен быть таким – logonui.exe

Userinit – должен быть таким – C:\Windows\System32\Userinit.exe, (с запятой).

VmApplet – должен быть таким – rundll32 shell32,Control_RunDLL "sysdm.cpl"

5. Переходим в раздел:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Находим и удаляем (если есть) подразделы: userinit.exe и explorer.exe

6. Переходим в раздел:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices

Если есть строковые параметры (REG_SZ): explorer.exe и userinit.exe — удаляем.

После этих действий перезагружаем компьютер, система должна запуститься с рабочим столом.