***
Симптомы неисправности: операционная система Windows не загружается – процесс загрузки доходит до Приветствия (или до окна выбора учётной записи).
После выбора учётной записи последовательно появляются сообщения «Загрузка личных параметров», «Сохранение параметров…» и опять – окно выбора учётной записи…
Как правило, это результат деструктивных действий вируса.
Этот вирус в папке \WINDOWS\ создает файл userinit.exe (233 472 байт).
Копия вируса – под именем system.exe (233 472 байт) – создается в папке \WINDOWS\system32\.
Чтобы лже-userinit подменил настоящий userinit.exe (Приложение Userinit для входа в систему; \WINDOWS\system32\; 25 088 байт), в разделе Реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] значение строкового (REG_SZ) параметра Userinit (значение по умолчанию C:\Windows\system32 \userinit.exe,) подменяется значением C:\Windows\userinit.exe:
Вследствие этого вирус постоянно находится в оперативной памяти (грузится и в Безопасном режиме!).
Следует отметить, что при лечении системы антивирус файлы вируса удаляет, но записи о них остаются в Реестре и препятствуют загрузке «вылеченной» Windows (то есть возникает парадоксальная ситуация: заражённая система загружалась нормально, а вылеченная – не грузится!).
***
Как устранить неисправность
Поскольку загрузить Windows не удается даже в Безопасном режиме (Safe Mode), воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander);
– запустите ERD Commander Explorer;
– в папке \WINDOWS\ удалите (если его не удалил антивирус) файл userinit.exe (233 472 байт);
– в папке \WINDOWS\system32\ удалите (если его не удалил антивирус) файл system.exe (233 472 байт);
– нажмите Start –> Administrative Tools –> RegEdit;
– в окне ERD Commander RegistryEditor раскройте ветвь
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], проверьте значение строкового (REG_SZ) параметра Shell (должно быть Explorer.exe);
– проверьте значение строкового (REG_SZ) параметра Userinit, – должно быть C:\Windows\system32\userinit.exe, (если система установлена на диске C:\, если на другом диске, то <буква_диска>:\Windows\system32\userinit.exe,);
– закройте ERD Commander RegistryEditor;
– нажмите Start –> Log Off –> Restart –> OK.
Загрузите ПК в штатном режиме;
– для предотвращения повторного самозаражения системы отключите восстановление системы (или вручную очистите папку System Volume Information);
– очистите кэш интернет-файлов;
– перезагрузите ПК;
– включите восстановление системы;
– просканируйте систему антивирусом со свежими базами.
***
Примечания
1. Будьте осторожны при манипуляциях с Реестром! Некорректное использование Редактора реестра может привести к возникновению серьезных неполадок, вплоть до переустановки операционной системы!
2. Помните, что предупредить легче, чем лечить! Пользуйтесь брандмауэрами и надёжными антивирусными программами с регулярно обновляемыми базами.
3. Почаще делайте резервное копирование важной информации.
4. Чтобы различать подозрительные файлы, «косящие» под папки, можно отключить опцию Скрывать расширения для зарегистрированных типов файлов:
– откройте Мой компьютер, выберите меню Сервис –> Свойства папки… (или нажмите Пуск –> Настройка –> Панель управления –> Свойства папки);
– в открывшемся диалоговом окне Свойства папки откройте вкладку Вид;
– в разделе Дополнительные параметры снимите флажок Скрывать расширения для зарегистрированных типов файлов –> OK.
5. Отключите автозапуск компакт-дисков, съёмных дисков и флешек.
6. Вопреки заверениям разработчиков антивирусов, ни один антивирус не устранит последствия вирусной атаки, – это нужно сделать вручную!