Userinit параметр в реестре windows 10
Обновлено: 05.07.2024
Последнее время на сайт приходят пользователи по запросу «userini.exe». Скорее всего, это люди столкнувшиеся с вирусом ntos.exe или подобным, который обсуждался на форуме. Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.
p, blockquote 1,0,0,0,0 -->
p, blockquote 2,0,0,0,0 -->
Настоящий userinit.exe, который находится в системной папке Windows (C:\Windows\System32\), переименовывается вирусом в userini.exe (без буквы «t»). Таким образом, на этапе инициализации пользователя система загружет вредоносный userinit.exe, т.к. вызов этого файла назначен в параметре UserInit ветки реестра (Пуск -> Выполнить -> regedit):
p, blockquote 3,0,1,0,0 -->
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«UserInit» = «%System%\userinit.exe,»
p, blockquote 4,0,0,0,0 -->
Который в свою очередь совершает что-то нехорошее на компьютере и уже после своих черных дел запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы «t»).
p, blockquote 5,0,0,0,0 -->
Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.
p, blockquote 6,0,0,0,0 -->
Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует (добавлено: некоторые модификации вируса уже подкладывают в данную папку зараженный файл, поэтому…), необходимо его скопировать с установочного диска или с другого компьютера.
p, blockquote 7,1,0,0,0 -->
p, blockquote 8,0,0,0,0 -->
«C:\Windows\System32\userinit.exe,» (с запятой) в разделе реестра:
p, blockquote 9,0,0,0,0 -->
p, blockquote 10,0,0,0,0 -->
Для этого можно воспользоваться диском LiveCD, на котором обычно присутствует утилита для редактирования реестра на гостевом компьютере.
p, blockquote 11,0,0,1,0 -->
Подытожим. Для нормального начала сеанса пользователя и загрузки рабочего стола необходимо выполнение двух условий:
Процесс входа в Windows (Winlogon, %SystemRoot%\System32\Winlogon.exe) обрабатывает интерактивные пользовательские входы в систему и выходы из нее.
Winlogon получает уведомление о запросе пользователя на вход в систему, когда с помощью определенной комбинации клавиш вводится безопасная последовательность привлечения внимания — secure attention sequence (SAS). В качестве SAS в Windows используется комбинация Ctrl+Alt+Delete. Причиной применения SAS является защита пользователей от программ перехвата паролей, имитирующих процесс входа в систему (эта клавиатурная последовательность не может быть перехвачена приложением, работающем в пользовательском режиме).
Аспекты идентификации и аутентификации процесса входа в систему реализованы через DLL-библиотеки, называемые поставщиками учетных данных (credential providers). Стандартные поставщики учетных данных Windows реализуют интерфейсы аутентификации, используемые в Windows по умолчанию: паролей и смарт-карт.
Но разработчики могут предоставить своих собственных поставщиков учетных данных для реализации вместо стандартного для Windows метода имя пользователя-пароль других механизмов идентификации и аутентификации (например, на основе распознавания голоса или биометрического устройства вроде сканера отпечатков пальцев).
Поскольку Winlogon является критическим системным процессом, от которого зависит работа системы, поставщики учетных данных и пользовательский интерфейс для вывода диалогового окна входа в систему запускаются внутри дочернего процесса Winlogon под названием LogonUI. Когда Winlogon обнаруживает SAS, он запускает этот процесс, который инициализирует поставщиков учетных данных. Как только пользователь вводит свои учетные данные или отказывается от интерфейса входа в систему, процесс LogonUI завершается.
Кроме того, Winlogon может загрузить дополнительные DLL-библиотеки сетевых поставщиков (network providers), необходимые для дополнительной аутентификации.
Эта возможность позволяет нескольким сетевым поставщикам за один раз во время обычного входа в систему собрать информацию, касающуюся идентификации и аутентификации.
После успешной аутентификации LSASS вызывает функцию в мониторе безопасности (например, NtCreateToken) для генерации объекта маркера доступа, содержащего профиль безопасности пользователя. Если используется управление учетными записями пользователей (User Account Control, UAC) и входящий в систему пользователь относится к группе администраторов или имеет права администратора, LSASS создаст вторую, ограниченную версию маркера.
Затем этот маркер доступа используется Winlogon для создания исходного процесса (процессов) в пользовательском сеансе. Исходный процесс (процессы) хранится в параметре реестра Userinit, который находится в разделе HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. (По умолчанию это Userinit.exe, но в списке может быть более одного образа.)
Userinit выполняет действия по инициализации пользовательской среды окружения (например, запускает сценарий входа в систему и применяет групповую политику), а затем смотрит в реестр на значение параметра Shell (в разделе Winlogon) и создает процесс для запуска определяемой системой оболочки (по умолчанию Explorer.exe). Затем Userinit завершается.
Именно поэтому для процесса Explorer.exe родительский процесс не показывается — его родительский процесс завершился, и средство tlist выравнивает имена процессов, чьи родительские процессы не работают по левому краю.
(По другому это выглядит так, что процесс Explorer является внуком процесса Winlogon.)
Winlogon является активным не только во время входа пользователя в систему и выхода из нее, но также и при перехвате SAS с клавиатуры. Например, если войдя в систему нажать комбинацию клавиш Ctrl+Alt+Delete, появится экран безопасности Windows, предоставляющий возможности для выхода из системы, запуска диспетчера задач, блокировки компьютера и т. д. Этим взаимодействием занимаются процессы Winlogon и LogonUI.
Подробности вызываемых функций, устанавливающих связь с LSASS (функций, чьи имена начинаются с префикса Lsa), даны в документации по Windows SDK.
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig, запущенной через меню Пуск - Выполнить
В столбце "Команда" не должно быть подозрительных элементов, например C:\Program Files\novirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце "Расположение").
Как альтернативe команде msconfig можно использовать программу XPTweaker.
В разделе "Система" перейти на закладку "Загрузка системы", прокрутить скроллом немного вниз до заголовка "Автозагрузка". Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows - уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса - самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) - типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
При нахождении в них подозрительных элементов - мочить гадов! :)
2. Вместо проводника
Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:
В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения "explorer.exe" заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.
Более действенный и быстрый способ - загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe - программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Оригинальные параметры записи в реестре должны быть следующими :
Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
В данном примере файл gertinw.exe - это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet \Services\Tcpip\Parameters \PersistentRoutes
Удалить их содержимое полностью кроме строки "По умолчанию" с неприсвоенным значением.
Userinit.exe является частью операционных систем Windows, отвечая за процесс загрузки системы. Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
| Цитата |
|---|
| Удаление файла приведет к невозможности загрузки операционной системы и потребует переустановку операционной системы. |
А обратно userinit.exe скопировать с другого компа - несудьба?
Вообще Винда после удаления этого файла работает но: вводишь логин и пароль выкидывает.
вирусы говнячат следующее значение в реестре
Userinit.exe -программа открывает Рабочий стол и активирует сетевые функции после запуска Windows.Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Если у вас Есть симптомы повреждения или заражения это файла делаем следуещее:
1) Имем загрузочную винду с тотал командером.
2) запускаемся с компакт диска.
3) на диске(загрузочном) в папке I386 находим файлик userinit.ex_
4) Копируем и переименовываем в ехе.
НО если вирус или еще кнонить похерил путь в реестре. данна операция не поможет. Нужно искать программки которы позволяют открывать чужой реестр(гостевой машины) и менять там путь к userinit. Есть прога у аваста. не помню точное название.
Данную уязвимость используют активно порнобанеры. Userinit можно проверить по размеру (Родной или инфицированный)
Норма 26,0 КБ (26 624 байт) на диске 28,0 КБ (28 672 байт).
но опять же вирусняк может размер подогнать.
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
"словил" программу для доступа к скачиванию фильмов. Фактически этой программой поставил службу userinit. которая появляется окном по середине эрана и просит денег через смс.
1. отключил службу userinit
2. нашел файл userinit - 156кб - исполняемый файл службы
3. перенес его в "хранилище"
PS. оригинальный файл весит 26 кб "этот" 156 кб. как удалить службу может кто знает. не испортив систему. Система Windows XP SP3.
Заранее благодарен. лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами, а вообще поиск по форуму используй- совсем недавно уже было. А так еще выше в теме читать не пробовали?
Качните AVZ выполните стандартный скрипт сбора сведений для Вирусинфо, выложите на файлообменник, и дайте ссылку на него. Посмотрим, что можно сделать.
| Цитата |
|---|
| SAMBO пишет: лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами, а вообще поиск по форуму используй- совсем недавно уже было. А так еще выше в теме читать не пробовали? |
Мне не все понятно. Чего лечить? у меня мой файл userinit цел находиться где положено!
В реестре запись о.
1 - Userinit - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlo g\Application\Userinit - %SystemRoot%\System32\userinit.exe
2 - userinit - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\userini t - \\.\globalroot\systemroot\system32\usеrinit.exe
Название параметра с маленькой буквы. А оригинальный параметр с большой Userinit = userinit
PS - на параметр globalroot тоже есть ссылка в реестре. (прописалась с. ).
вобщем реально мое мнение если не было резервной копии реестра, можно много времени провести за чисткой и программы по чистке реестра и антивирусы не многим помогут. AVZ , RootkitRevealer , Norton 360 - молчат.
| Цитата |
|---|
| лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами |
| Цитата |
|---|
| Анатолий Сухов пишет: Мне не все понятно. Чего лечить? у меня мой файл userinit цел находиться где положено! |
| Цитата |
|---|
| Анатолий Сухов пишет: 2. нашел файл userinit - 156кб - исполняемый файл службы 3. перенес его в "хранилище" PS. оригинальный файл весит 26 кб "этот" 156 кб. |
их два в системе было.
Две ссылки в реестре на разные по размеру файлы. Факт в том оба файла называются одинаково только лежат они в разных местах. Я выше писал.
и появилась непонятная служба userinit. она так и называется. Я удалил службу userinit и почистил все ссылки на эту службу. Но стоило мне это два часа.
Я делал все на свой страх и риск потому что если бы не угадал ( по другому не получалось) убил бы рабочий стол с системой вместе.
Я так понял что вирус , а по другому его не назовешь, замаскировался под эту службу.
вы когда что ни будь спрашиваете - задавайте вопрос с полным описанием, а то из ваших предыдущих постов совсем не вытекало что у вас два файла с одним названием в разных местах. Правильно поставленный вопрос = 50% правильного ответа. А что бы делать все не на свой страх и риск вам и было предложено:| Цитата |
|---|
| лечи антивирусником в безопасном режиме с обновленными базами, если не помогает качай cureit от др.Веб, грузись с реаниматора и лечи ей, можешь отключить жесткий диск и проверить на заведомо чистом компе с новыми базами |
Тип вопроса: дополнить описание
Рейтинг опасности: не знаю
Тип вопроса: сбой в работе программы
Рейтинг опасности: не знаю
Доброго времени суток, у брата завелся вирус требующий оплатить через терминалы оплаты и яко бы на чеке будет код разблокирования, я посоветовала ничего не платить а сама кинулась в интернет искать средства избавления от "заразы" на нескольких сайтах с "подобными" проблемами я нашла способы их решения. В большинстве из них советовали удалить файл C:\windows\system32\usrinit.exe говоря что именно в этом файле находится вирус.
Он удалил данный файл, и вот результат: система загружается мелькает на минуту фон рабочего стола, а далее показывает голубой (стандартный) фон слева "Приветствие" а справа 2 пользователя User и Администратор а снизу "Выключение", но не в одного пользователя не пускает начинает "Запуск личных параметров" и тутже "Сохранение параметров Выход из системы". Подскажите пожалуйста, как можно и вообще можно ли восстановить систему или нужно сносить и ставить новую.
Он удалил данный файл, и вот результат: система загружается мелькает на минуту фон рабочего стола, а далее показывает голубой (стандартный) фон слева "Приветствие" а справа 2 пользователя User и Администратор а снизу "Выключение", но не в одного пользователя не пускает начинает "Запуск личных параметров" и тутже "Сохранение параметров Выход из системы". Подскажите пожалуйста, как можно и вообще можно ли восстановить систему или нужно сносить и ставить новую.
Всем привет. меня всегда умиляет формат вопросов про windows и linux в форумах. Linuxсоиды спрашивают как настроить а Windows пользователи как вылечить ))) Да да простите за мою заметку никого не хотел обидеть просто как заметка в наблюдениях.
В плане таких проблем как испорченные вирусом библиотеки и т.д. написано много в интернете. порой пока найдешь правильный ответ загонишь машину в ступор на столько что спасет только переустановка системы.
Единственно правильный способ востановления системы это ее backup как полный так и системных файлов. в инете таких программ много можно выбрать по вкусу и пользоваться есть как платные так и бесплатные. Время востановление при наличии backup от 15 до 45ти минут в зависимости от количества файлов и скорости компьютера.
Другое дело когда на работе у сисадминов падают системы от таких вирусов. и это не проблема пользователей это Админ пустил все на самотек.
И так, будем думать что у Вас под рукой есть дистрибутив в windows xp. Вы даже можете воспользоваться дистрибутивом типа MSN сборки или еще их называют корпоративными. Старайтесь не брать переделанные сборки так сам "автор" не сможет дать ответ на вопрос а иначе ему пришлось бы бросить свою работу и только отвечать на возможные вопросы.
теперь по порядку.
0. Если у Вас есть любая система LiveCD вам проще всего загружайтесь с нее.
заходите в командной строке в каталог с дистрибутивом а именно каталог /386 и распакуйте нужные вам (оригинальные) файлы командой
expand [имя файла].DL_ %windir%\System32\[имя файла].DLL
после замены файлов загрузитесь в обыкновенном режиме. В случае с userinit.exe необходимо проверить ключ реестра
hklm\software\microsoft\windows nt\current version\winlogon -> shell [string] explorer.exe
hklm\software\microsoft\windows nt\current version\winlogon -> userinit [string] C:\WINDOWS\system32\userinit.exe,
значение должны быть такими же.
Рекомендую проверить ключ
hklm\software\microsoft\windows nt\current version\windows\AppInit_DLLs
изначально он должен быть пустым.
Установить
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer
все значения по 0 и перезагрузить компьютер
самый простой способ запустить sfc /scannow (потребуется диск установочный) компьютер сам проверит все файлы, и как я писал выше подойдет любой корпоративный дистрибутив с SP3.
З.Ы. вот в принципе и все что я хотел написать. Если кому помогло или поможет я буду только рад. Удачи AlienVS.
З.Ы.2. есть еще одна программа называется SpyWareTerminator. Посмотрите в ее сторону. очень рекомендую тем у кого нет времени следить за компьютером. Всем кому ставил остались довольны и из за вирусов я к ним не приезжал .
Читайте также: