| English version | Распечатать |
***
Симптомы неисправности: операционная система Windows не загружается – процесс загрузки доходит до Приветствия (или до окна выбора учётной записи).
После выбора учётной записи последовательно появляются сообщения «Загрузка личных параметров», «Сохранение параметров…» и опять – окно выбора учётной записи…
Как правило, это результат деструктивных действий вируса.
Этот вирус в папке \WINDOWS\ создает файл userinit.exe (233 472 байт).
Копия вируса – под именем system.exe (233 472 байт) – создается в папке \WINDOWS\system32\.
Чтобы лже-userinit подменил настоящий userinit.exe (Приложение Userinit для входа в систему; \WINDOWS\system32\; 25 088 байт), в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] значение строкового (REG_SZ) параметра Userinit (значение по умолчанию C:\Windows\system32 \userinit.exe,) подменяется значением C:\Windows\userinit.exe:
Вследствие этого вирус постоянно находится в оперативной памяти (грузится и в Безопасном режиме!).
Следует отметить, что при лечении системы антивирус файлы вируса удаляет, но записи о них остаются в Реестре и препятствуют загрузке «вылеченной» Windows (то есть возникает парадоксальная ситуация: заражённая система загружалась нормально, а вылеченная – не грузится!).
***
Как устранить неисправность
Поскольку загрузить Windows не удается даже в Безопасном режиме (Safe Mode), воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– запустите ERD Commander Explorer;
– в папке \WINDOWS\ удалите (если его не удалил антивирус) файл userinit.exe (233 472 байт);
– в папке \WINDOWS\system32\ удалите (если его не удалил антивирус) файл system.exe (233 472 байт);
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander RegistryEditor раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– закройте ERD Commander RegistryEditor;
– нажмите Start –> Log Off –> Restart –> OK.
Загрузите ПК в штатном режиме;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
Примечания
1. Будьте осторожны при манипуляциях с Реестром (см. Что такое Реестр Windows?)! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надежными антивирусными программами (см. Как выбрать антивирус?) с регулярно (не менее одного раза в неделю!) обновляемыми базами.
3. Почаще делайте резервное копирование важной информации (см. Как избежать утраты информации?).
4. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.
5. Отключите автозапуск компакт-дисков, съёмных дисков и флешек (см. Windows: как отключить автозапуск компакт-дисков, съёмных дисков и флешек?).
6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!
Валерий Сидоров
***
• Дело о…
• Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + …
• Apps for iPad, iPhone, iPod touch…