После заражения компа смс-вымогателем при входе в систему тупо черный экран, запускается тока через выполнение новой задачи. \Winlogon\Shell все в порядке, userinit тоже, сам файл эксплорера тоже в порядке. Подскажите где можно еще копнуть?

\Winlogon\Shell все в порядке »
и что там?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - в этом разделе?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ключик "Shell" параметр "explorer.exe"

в журналах нашел событие от Winlogon
Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe.

У тебя скорее всего вирус в файле userinit.exe, посмотри эту (http://forum.oszone.net/thread-148188.html) тему

Я после всех операций ставил SP1 он должен был заменить userinit.exe, полагаю что он не является зараженным.

также имеется еще одно событие от Winlogon
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <SessionEnv>.

Dr.FRECH, посмотрите еще в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
(если там есть userinit.exe, удалите).

Спасибо, удаление ключа помогло

добрый день. такая же проблема.

1. черный экран при обычной загрузке, можно нажать ctrl-alt-del, появится меню, но диспетчер задач при выборе в меню не появляется
2. в безопасном режиме рабочий стол появляется.
3. sfc /scannow прошел и чего-то восстановил
4. chkdsk прошел и не нашел проблем
5. в логах есть " Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe."
6. в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options userinit отсутствует
7. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "explorer.exe"

что делать?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "explorer.exe" »
Userinit - C:\Windows\System32\Userinit.exe, ?
2. в безопасном режиме рабочий стол появляется. »
Как определить, является проблема системной или вызвана сторонним приложением/службой (http://www.outsidethebox.ms/10368/)
в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options userinit отсутствует »
Запустите по поиску в реестре userinit.exe, Где присутствует ?

2. в безопасном режиме рабочий стол появляется.
[решено] Не могу войти администратором (http://forum.oszone.net/thread-259712.html)

Userinit - C:\Windows\System32\Userinit.exe, ? »
да.
Запустите по поиску в реестре userinit.exe, Где присутствует ? »
только в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

помогло добавление ИНТЕРАКТИВНЫЕ и Прошедшие проверку в группу Пользователи, как сказал Petya V4sechkin.

[решено] Не могу войти администратором »

большое спасибо! помогло добавление в группу "пользователи" групп "ИНТЕРАКТИВНЫЕ" и "Прошедшие проверку".

Доброго дня. Такая же проблема, но закручено ещё больше

Windows 7 Pro SP1 x64

1. пустой экран при обычной загрузке, можно нажать ctrl-alt-del, появится меню, но диспетчер задач при выборе в меню не запускается
2. в безопасном режиме рабочий стол появляется. Кмк это из-за проблемы, похожей на [решено] Не могу войти администратором (http://forum.oszone.net/thread-259712.html) , т.к. при отключении UAC рабочий стол отображается у администратора и не в безопасном режиме. Группы "ИНТЕРАКТИВНЫЕ" и "Прошедшие проверку" в "Пользователи" присутствуют
3. sfc /verifyonly прошёл и ничего не нашёл
4. chkdsk прошёл и не нашёл проблем
5. в логах есть " Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe."
6. в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options userinit.exe отсутствует
7. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "explorer.exe"
8. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" = "C:\Windows\system32\userinit.exe,"

Что ещё можно проверить?

upd: При включённом UAC рабочий стол у членов группы Администраторы НЕ загружается, при полностью отключённом - загружается. У пользователей, вне зависимости от положения ползунка UAC, происходит выход из системы сразу после входа, в т.ч. и в безопасном режиме. Создал новый локальный профиль пользователя - поведение аналогичное

Marat Abdulin, проверьте, нет ли упоминаний explorer.exe или userinit.exe в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
в логах есть " Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe."
На ошибке правой кнопкой мыши -> Копировать -> Копировать сведения как текст -> выложите.

нет ли упоминаний explorer.exe или userinit.exe в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options »
Разделов explorer.exe или userinit.exe нет

На ошибке правой кнопкой мыши -> Копировать -> Копировать сведения как текст -> выложите. »
Log Name: Application
Source: Microsoft-Windows-Winlogon
Date: 15.01.2016 10:12:40
Event ID: 4006
Task Category: None
Level: Предупреждение
Keywords: Классический
User: N/A
Computer: o64-pp-0806.mnpk.lan
Description:
Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Winlogon" />
<EventID Qualifiers="32768">4006</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2016-01-15T07:12:40.000000000Z" />
<EventRecordID>51216</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>o64-pp-0806.mnpk.lan</Computer>
<Security />
</System>
<EventData>
<Data>
</Data>
<Data>C:\Windows\system32\userinit.exe</Data>
<Binary>B1360000</Binary>
</EventData>
</Event>

отчёт с VirusTotal про установленный файл userinit.exe (https://www.virustotal.com/ru/file/11c194d9adce90027272c627d7fbf3ba5025ff0f7b26a8333f764e11e1382cf9/analysis/1452844866/) , проблем нет

Marat Abdulin, можно попробовать сделать лог Process Monitor (http://technet.microsoft.com/ru-ru/sysinternals/bb896645) при загрузке системы (для этого в меню Options -> включите флажок Enable Boot Logging) и входе под проблемной учетной записью.
Если удастся, сохраните лог в PML-формате, заархивируйте и выложите на любой файлообменник, например rghost.ru.

Если удастся, сохраните лог в PML-формате »
http://rghost.ru/private/88w2njnfh/cb59a5957fad9634161d4d36d85e6c11
Поискал сам по строкам userinit и winlogon, вроде ничего подозрительного. Но очень большой объём лога, где именно смотреть не знаю...

Порядок действий:
- загрузился под учёткой администратора, запустил ProcMon, активировал Boot Log, перезагрузился
- ввёл учётные данные учётки с правами пользователя, ровно в 14:47 нажал Enter, произошёл логин и сразу выход из системы
- ввёл снова учётные данные администратора и загрузился, запустил ProcMon, отключил Boot Log (итого должно быть 2 логина в логе)
- всё выполнялось при отключенном UAC

Marat Abdulin, PML-файл только один создался?
Обычно получается два или три.

Petya V4sechkin, ваша правда, файлов было сохранено три. Посчитав это неким глюком или разбиением по времени и, учитывая, что самый "жирный" файл охватывал весь диапазон по времени загрузки, приложил именно его. Полагаю, все три файла были необходимы? К сожалению, доступ к проблемной машине будет только в понедельник

upd: Ох, кажется, понимаю в чём был неправ. Скачав свой же лог и получив facepalm, могу предположить, что Process Monitor отображал мне сведения из всех трёх файлов сразу, а я думал, что только из первого. Соответственно выложил лишь бесполезную первую часть загрузки

Marat Abdulin, все нужны, да.
будет только в понедельник
Тогда и продолжим.