userinit exe что это
IT-WeB-LOG.ru
Избавляемся от вируса блокирующего систему
Прогресс не стоит на месте, а с ним в пред движутся и разработчики вирусов смс-блокеров. С методом удаления и лечения одного нового вируса блокирующего компьютер вы сможете ознакомиться в данной статье.
Действия нового вируса блокирующего систему
Новый вирус блокирующий компьютер действует по тому же принципу что и его собратья, т.е. сохраняет свой файл на жесткий диск и перезаписывает параметр реестра shell в ветке HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ на этом сходство со старыми смс-блокерами заканчивается.
Столкнувшись с таким вирусом, я почистил реестр, прописав в параметре shell родное значение explorer.exe, удалил вирусный файл (как это сделать можно посмотреть в статье Удаляем вирус заблокировавший компьютер ) и был очень удивлен, когда при перезагрузке компьютера, с ново появилось окно блокирующего вируса.
Новый вирус блокирующий систему
Проверив реестр я обнаружил что измененный мной параметр shell снова указывает на вирусный файл, а сам файл как не вчем не бывало, находится в директории из которой он был недавно удален.
Пришлось поломать голову над тем как это происходит. И вот что я выяснил.
Новый смс-блокер меняет параметры реестра, только для отвода глаз. Основное действие вируса это подмена файла userinit.exe находящегося на системном диске в каталоге Windows\System32\
Восстанавливаем систему после работы нового смс-блокера.
Восстановление системы после рекламного вируса
Для тех у кого нет под рукой рабочей системы выкладываю свой файлик:
Читайте так же:
Вы можете подписаться на новые комментарии к этой записи по RSS 2.0 Feed. Вы можете оставить комментарий или trackback со своего сайта.
Userinit exe что это
Последнее время на сайт приходят пользователи по запросу «userini.exe». Скорее всего, это люди столкнувшиеся с вирусом ntos.exe или подобным, который обсуждался на форуме. Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«UserInit» = «%System%\userinit.exe,»
Который в свою очередь совершает что-то нехорошее на компьютере и уже после своих черных дел запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы «t»).
Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.
Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует (добавлено: некоторые модификации вируса уже подкладывают в данную папку зараженный файл, поэтому…), необходимо его скопировать с установочного диска или с другого компьютера.
Добавлено в 2011. За полтора года мне повстречалось множество записей о всяческих разновидностях подобного вируса, который прописывает свой файл в Winlogon вместо userinit.exe — то есть, там указан файл вируса (имя файла может быть любое), который после отработки должен вызвать userinit.exe. Получается тоже самое, что и в примере выше: антивирус удаляет файл вируса и система не может начать сеанс, при том что настоящий userinit.exe может быть на своем месте и не быть испорченным. В таких случаях достаточно исправить значение параметра «UserInit» на
«C:\Windows\System32\userinit.exe,» (с запятой) в разделе реестра:
Для этого можно воспользоваться диском LiveCD, на котором обычно присутствует утилита для редактирования реестра на гостевом компьютере.
Подытожим. Для нормального начала сеанса пользователя и загрузки рабочего стола необходимо выполнение двух условий:
1. Указанный в реестре файл userinit.exe в качестве инициализатора сеанса;
2. Наличие оригинального файла userinit.exe в системной папке Windows.
Однако, на сегодняшний день вирусы уже не ограничиваются подменой одного только файла userinit.exe, их жертвами также могут стать и другие не менее важные системные файлы.
Userinit exe что это
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
| Цитата |
|---|
| Удаление файла приведет к невозможности загрузки операционной системы и потребует переустановку операционной системы. |
Вообще Винда после удаления этого файла работает но: вводишь логин и пароль выкидывает.
вирусы говнячат следующее значение в реестре
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Если у вас Есть симптомы повреждения или заражения это файла делаем следуещее:
1) Имем загрузочную винду с тотал командером.
2) запускаемся с компакт диска.
3) на диске(загрузочном) в папке I386 находим файлик userinit.ex_
4) Копируем и переименовываем в ехе.
НО если вирус или еще кнонить похерил путь в реестре. данна операция не поможет. Нужно искать программки которы позволяют открывать чужой реестр(гостевой машины) и менять там путь к userinit. Есть прога у аваста. не помню точное название.
Данную уязвимость используют активно порнобанеры. Userinit можно проверить по размеру (Родной или инфицированный)
Норма 26,0 КБ (26 624 байт) на диске 28,0 КБ (28 672 байт).
но опять же вирусняк может размер подогнать.
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Да еще предложение админам(и не только) проекта. Если есть идеи как лечить те или иные уязвомости то предлагать. можно даже добавить тип вопроса «лечение» (Сообщение может быть удалено)
| Цитата |
|---|
| Сергей Шевелёв пишет: Тип вопроса: дополнить описание Рейтинг опасности: не знаю |
Если у вас Есть симптомы повреждения или заражения это файла делаем следуещее:
1) Имем загрузочную винду с тотал командером.
2) запускаемся с компакт диска.
3) на диске(загрузочном) в папке I386 находим файлик userinit.ex_
4) Копируем и переименовываем в ехе.
НО если вирус или еще кнонить похерил путь в реестре. данна операция не поможет. Нужно искать программки которы позволяют открывать чужой реестр(гостевой машины) и менять там путь к userinit. Есть прога у аваста. не помню точное название.
Данную уязвимость используют активно порнобанеры. Userinit можно проверить по размеру (Родной или инфицированный)
Норма 26,0 КБ (26 624 байт) на диске 28,0 КБ (28 672 байт).
но опять же вирусняк может размер подогнать.
| Цитата |
|---|
| SAMBO пишет: лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами, а вообще поиск по форуму используй- совсем недавно уже было. А так еще выше в теме читать не пробовали? |
Название параметра с маленькой буквы. А оригинальный параметр с большой Userinit = userinit
| Цитата |
|---|
| лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами |
| Цитата |
|---|
| Анатолий Сухов пишет: Мне не все понятно. Чего лечить? у меня мой файл userinit цел находиться где положено! |
| Цитата |
|---|
| лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами |
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Тип вопроса: сбой в работе программы
Рейтинг опасности: не знаю
Доброго времени суток, у брата завелся вирус требующий оплатить через терминалы оплаты и яко бы на чеке будет код разблокирования, я посоветовала ничего не платить а сама кинулась в интернет искать средства избавления от «заразы» на нескольких сайтах с «подобными» проблемами я нашла способы их решения. В большинстве из них советовали удалить файл C:\windows\system32\usrinit.exe говоря что именно в этом файле находится вирус.
Он удалил данный файл, и вот результат: система загружается мелькает на минуту фон рабочего стола, а далее показывает голубой (стандартный) фон слева «Приветствие» а справа 2 пользователя User и Администратор а снизу «Выключение», но не в одного пользователя не пускает начинает «Запуск личных параметров» и тутже «Сохранение параметров Выход из системы». Подскажите пожалуйста, как можно и вообще можно ли восстановить систему или нужно сносить и ставить новую.
Всем привет. меня всегда умиляет формат вопросов про windows и linux в форумах. Linuxсоиды спрашивают как настроить а Windows пользователи как вылечить ))) Да да простите за мою заметку никого не хотел обидеть просто как заметка в наблюдениях.
В плане таких проблем как испорченные вирусом библиотеки и т.д. написано много в интернете. порой пока найдешь правильный ответ загонишь машину в ступор на столько что спасет только переустановка системы.
Единственно правильный способ востановления системы это ее backup как полный так и системных файлов. в инете таких программ много можно выбрать по вкусу и пользоваться есть как платные так и бесплатные. Время востановление при наличии backup от 15 до 45ти минут в зависимости от количества файлов и скорости компьютера.
Другое дело когда на работе у сисадминов падают системы от таких вирусов. и это не проблема пользователей это Админ пустил все на самотек.
И так, будем думать что у Вас под рукой есть дистрибутив в windows xp. Вы даже можете воспользоваться дистрибутивом типа MSN сборки или еще их называют корпоративными. Старайтесь не брать переделанные сборки так сам «автор» не сможет дать ответ на вопрос а иначе ему пришлось бы бросить свою работу и только отвечать на возможные вопросы.
Userinit exe что это
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).
Как альтернативe команде msconfig можно использовать программу XPTweaker.
В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Дополнительно:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. Вместо проводника
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.
Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими :
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet <номера 001 или 002>\Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.
Что такое userinit.exe? Это безопасно или вирус? Как удалить или исправить это
Что такое userinit.exe?
userinit.exe это исполняемый файл, который является частью Windows NT Server разработанный Microsoft, Версия программного обеспечения для Windows: 1.0.0.0 обычно 26624 в байтах, но у вас может отличаться версия.
Userinit.exe безопасный, или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для userinit.exe его путь будет примерно таким: C: \ Program Files \ Microsoft \ Windows NT Server \ userinit.exe
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Самые важные факты о userinit.exe:
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением userinit.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами
Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус userinit.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.
Могу ли я удалить или удалить userinit.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Однако, если это не вирус, и вам нужно удалить userinit.exe, вы можете удалить Windows NT Server с вашего компьютера, используя его деинсталлятор. Если вы не можете найти его деинсталлятор, вам может понадобиться удалить Windows NT Server, чтобы полностью удалить userinit.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.
Распространенные сообщения об ошибках в userinit.exe
Наиболее распространенные ошибки userinit.exe, которые могут возникнуть:
Как исправить userinit.exe
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс userinit.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:
Загрузите или переустановите userinit.exe
Вход в музей Мадам Тюссо не рекомендуется загружать заменяемые exe-файлы с любых сайтов загрузки, так как они могут содержать вирусы и т. д. Если вам нужно скачать или переустановить userinit.exe, мы рекомендуем переустановить основное приложение, связанное с ним. Windows NT Server.
Технические особенности Windows NT
Информация об операционной системе
Ошибки userinit.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows: