Приложение userinit для входа в систему можно ли отключить
Процесс входа в Windows (Winlogon, %SystemRoot%\System32\Winlogon.exe) обрабатывает интерактивные пользовательские входы в систему и выходы из нее.
Winlogon получает уведомление о запросе пользователя на вход в систему, когда с помощью определенной комбинации клавиш вводится безопасная последовательность привлечения внимания — secure attention sequence (SAS). В качестве SAS в Windows используется комбинация Ctrl+Alt+Delete. Причиной применения SAS является защита пользователей от программ перехвата паролей, имитирующих процесс входа в систему (эта клавиатурная последовательность не может быть перехвачена приложением, работающем в пользовательском режиме).
Аспекты идентификации и аутентификации процесса входа в систему реализованы через DLL-библиотеки, называемые поставщиками учетных данных (credential providers). Стандартные поставщики учетных данных Windows реализуют интерфейсы аутентификации, используемые в Windows по умолчанию: паролей и смарт-карт.
Но разработчики могут предоставить своих собственных поставщиков учетных данных для реализации вместо стандартного для Windows метода имя пользователя-пароль других механизмов идентификации и аутентификации (например, на основе распознавания голоса или биометрического устройства вроде сканера отпечатков пальцев).
Поскольку Winlogon является критическим системным процессом, от которого зависит работа системы, поставщики учетных данных и пользовательский интерфейс для вывода диалогового окна входа в систему запускаются внутри дочернего процесса Winlogon под названием LogonUI. Когда Winlogon обнаруживает SAS, он запускает этот процесс, который инициализирует поставщиков учетных данных. Как только пользователь вводит свои учетные данные или отказывается от интерфейса входа в систему, процесс LogonUI завершается.
Кроме того, Winlogon может загрузить дополнительные DLL-библиотеки сетевых поставщиков (network providers), необходимые для дополнительной аутентификации.
Эта возможность позволяет нескольким сетевым поставщикам за один раз во время обычного входа в систему собрать информацию, касающуюся идентификации и аутентификации.
После успешной аутентификации LSASS вызывает функцию в мониторе безопасности (например, NtCreateToken) для генерации объекта маркера доступа, содержащего профиль безопасности пользователя. Если используется управление учетными записями пользователей (User Account Control, UAC) и входящий в систему пользователь относится к группе администраторов или имеет права администратора, LSASS создаст вторую, ограниченную версию маркера.
Затем этот маркер доступа используется Winlogon для создания исходного процесса (процессов) в пользовательском сеансе. Исходный процесс (процессы) хранится в параметре реестра Userinit, который находится в разделе HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon. (По умолчанию это Userinit.exe, но в списке может быть более одного образа.)
Userinit выполняет действия по инициализации пользовательской среды окружения (например, запускает сценарий входа в систему и применяет групповую политику), а затем смотрит в реестр на значение параметра Shell (в разделе Winlogon) и создает процесс для запуска определяемой системой оболочки (по умолчанию Explorer.exe). Затем Userinit завершается.
Именно поэтому для процесса Explorer.exe родительский процесс не показывается — его родительский процесс завершился, и средство tlist выравнивает имена процессов, чьи родительские процессы не работают по левому краю.
(По другому это выглядит так, что процесс Explorer является внуком процесса Winlogon.)
Winlogon является активным не только во время входа пользователя в систему и выхода из нее, но также и при перехвате SAS с клавиатуры. Например, если войдя в систему нажать комбинацию клавиш Ctrl+Alt+Delete, появится экран безопасности Windows, предоставляющий возможности для выхода из системы, запуска диспетчера задач, блокировки компьютера и т. д. Этим взаимодействием занимаются процессы Winlogon и LogonUI.
Подробности вызываемых функций, устанавливающих связь с LSASS (функций, чьи имена начинаются с префикса Lsa), даны в документации по Windows SDK.
Прогресс не стоит на месте, а с ним в пред движутся и разработчики вирусов смс-блокеров. С методом удаления и лечения одного нового вируса блокирующего компьютер вы сможете ознакомиться в данной статье.
Действия нового вируса блокирующего систему
Новый вирус блокирующий компьютер действует по тому же принципу что и его собратья, т.е. сохраняет свой файл на жесткий диск и перезаписывает параметр реестра shell в ветке HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ на этом сходство со старыми смс-блокерами заканчивается.
Столкнувшись с таким вирусом, я почистил реестр, прописав в параметре shell родное значение explorer.exe, удалил вирусный файл (как это сделать можно посмотреть в статье Удаляем вирус заблокировавший компьютер ) и был очень удивлен, когда при перезагрузке компьютера, с ново появилось окно блокирующего вируса.
Новый вирус блокирующий систему
Проверив реестр я обнаружил что измененный мной параметр shell снова указывает на вирусный файл, а сам файл как не вчем не бывало, находится в директории из которой он был недавно удален.
Пришлось поломать голову над тем как это происходит. И вот что я выяснил.
Новый смс-блокер меняет параметры реестра, только для отвода глаз. Основное действие вируса это подмена файла userinit.exe находящегося на системном диске в каталоге Windows\System32\
Восстанавливаем систему после работы нового смс-блокера.
Восстановление системы после рекламного вируса
Для восстановления работоспособности системы порежонной данным смс-блокером необходим вызвать диспетчер задач комбинацией клавиш (Ctrl+Shift+Esc) в списке процессов найти процесс с названием userinit.exe и завершить его, нажав кнопку завершить процесс . После этого зараженный файл userinit.exe, расположенный в каталоге C:\Windows\System32\ необходимо заменить файлом с нормальной системы, после этого восстановить параметр реестра Shell
Для тех у кого нет под рукой рабочей системы выкладываю свой файлик:
Читайте так же:
(11 голосов, средний: 4.64 из 5)Вы можете подписаться на новые комментарии к этой записи по RSS 2.0 Feed. Вы можете оставить комментарий или trackback со своего сайта.
Последнее время на сайт приходят пользователи по запросу «userini.exe». Скорее всего, это люди столкнувшиеся с вирусом ntos.exe или подобным, который обсуждался на форуме. Хитрость заключается в том, что вирус подменяет системный файл userinit.exe, который требуется для инициализации пользователя в системе.
p, blockquote 1,0,0,0,0 -->
p, blockquote 2,0,0,0,0 -->
Настоящий userinit.exe, который находится в системной папке Windows (C:\Windows\System32\), переименовывается вирусом в userini.exe (без буквы «t»). Таким образом, на этапе инициализации пользователя система загружет вредоносный userinit.exe, т.к. вызов этого файла назначен в параметре UserInit ветки реестра (Пуск -> Выполнить -> regedit):
p, blockquote 3,0,1,0,0 -->
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«UserInit» = «%System%\userinit.exe,»
p, blockquote 4,0,0,0,0 -->
Который в свою очередь совершает что-то нехорошее на компьютере и уже после своих черных дел запускает настоящий userinit, в данный момент переименованный в userini.exe (без буквы «t»).
p, blockquote 5,0,0,0,0 -->
Что происходит, когда антивирус обнаруживает файл вируса? Правильно, он его удаляет. И получается, что при следующей попытки входа в систему, файл userinit.exe не будет найден, а сеанс пользователя завершится так и не начавшись.
p, blockquote 6,0,0,0,0 -->
Если это произошло, необходимо вернуть настоящий файл userinit.exe, копия которого есть в папке: C:\WINDOWS\system32\dllcache. Понадобится загрузить компьютер с помощью загрузочной дискеты или диска, флешки, LiveCD или просто подключить жесткий диск к другому компьютеру. Если в этой папке оригинал отсутствует (добавлено: некоторые модификации вируса уже подкладывают в данную папку зараженный файл, поэтому…), необходимо его скопировать с установочного диска или с другого компьютера.
p, blockquote 7,1,0,0,0 -->
p, blockquote 8,0,0,0,0 -->
«C:\Windows\System32\userinit.exe,» (с запятой) в разделе реестра:
p, blockquote 9,0,0,0,0 -->
p, blockquote 10,0,0,0,0 -->
Для этого можно воспользоваться диском LiveCD, на котором обычно присутствует утилита для редактирования реестра на гостевом компьютере.
p, blockquote 11,0,0,1,0 -->
Подытожим. Для нормального начала сеанса пользователя и загрузки рабочего стола необходимо выполнение двух условий:
Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows, разработанного Microsoft .
Userinit.exe - это исполняемый файл (программа) для Windows. Расширение имени файла .exe - это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли Userinit.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу Userinit Logon Application. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы Userinit.exe.
Информация о файле Userinit.exe
Описание: Userinit.exe часто вызывает проблемы и необходим для Windows. Файл Userinit.exe находится в папке C:\Windows\System32. Известны следующие размеры файла для Windows 10/8/7/XP 26,624 байт (63% всех случаев), 22,528 байт и еще 7 варианта .
Это заслуживающий доверия файл от Microsoft. У процесса нет видимого окна. Процесс загружается во время процесса загрузки Windows (Смотрите ключ реестра: Userinit , Run , MACHINE\Run ). Поэтому технический рейтинг надежности 9% опасности.
Вирусы с тем же именем файла
Является ли Userinit.exe вирусом? Нет, это не вирус. Настоящий файл Userinit.exe - это безопасный системный процесс Microsoft Windows, который называется "Userinit Logon Application". Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: например, Worm:Win32/VB.HA или TrojanDropper:Win32/Obitel.A (определяется антивирусом Microsoft), и Worm.Win32.AutoRun.bojv или Trojan.Win32.Vilsel.asub (определяется антивирусом Kaspersky).
Чтобы убедиться, что работающий Userinit.exe на вашем компьютере - это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.
Как распознать подозрительные процессы?
- Если Userinit.exe находится в папке C:\Windows, тогда рейтинг надежности 77% опасности. Размер файла 69,632 байт (16% всех случаев), 112,128 байт и еще 12 варианта . Это не файл Windows. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: Userinit , Run , MACHINE\Run ). Нет информации по файлу. У процесса нет видимого окна. Находится в папке Windows, но это не файл ядра Windows. Userinit.exe способен записывать ввод данных и мониторить приложения.
- Если Userinit.exe находится в подпапках "C:\Program Files", тогда рейтинг надежности 2% опасности. Размер файла 25,088 байт. У процесса есть видимое окно. Это не файл Windows. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: Userinit , MACHINE\Run , Run ). Это заслуживающий доверия файл от Microsoft.
- Если Userinit.exe находится в подпапках диска C:\, тогда рейтинг надежности 46% опасности. Размер файла 222,208 байт.
Важно: Некоторые вредоносные программы маскируют себя как Userinit.exe, особенно, если они расположены не в каталоге C:\Windows\System32. Таким образом, вы должны проверить файл Userinit.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Итого: Средняя оценка пользователей сайта о файле Userinit.exe: - на основе 12 голосов с 12 отзывами.47 пользователей спрашивали про этот файл. 2 пользователей не поставили рейтинг ("я не знаю"). 6 пользователей оценили, как неопасный. Один пользователь оценил, как представляется нужным. Один пользователь оценил, как кажется опасным. 4 пользователей оценили, как опасный.
Лучшие практики для исправления проблем с Userinit
Аккуратный и опрятный компьютер - это главное требование для избежания проблем с Userinit. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса Userinit.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным - шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
Userinit сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
userinit.exe это исполняемый файл, который является частью Windows NT Server разработанный Microsoft, Версия программного обеспечения для Windows: 1.0.0.0 обычно 26624 в байтах, но у вас может отличаться версия.
Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли userinit.exe Файл на вашем компьютере - это вирус или вредоносная программа, которую вы должны удалить, или, если это действительно допустимый файл операционной системы Windows или надежное приложение.
Userinit.exe безопасный, или это вирус или вредоносная программа?
Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для userinit.exe его путь будет примерно таким: C: \ Program Files \ Microsoft \ Windows NT Server \ userinit.exe
Чтобы определить его путь, откройте диспетчер задач, перейдите в «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.
Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.
Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.
Самые важные факты о userinit.exe:
- Имя: userinit.exe
- Программного обеспечения: Windows NT Server
- Издатель: Microsoft
- Ожидаемое местоположение: C: \ Program Files \ Microsoft \ Windows NT Server \ подпапке
- Ожидаемый полный путь: C: \ Program Files \ Microsoft \ Windows NT Server \ userinit.exe
- SHA1: 211295CCDA6CF6409189279BF66A212BD53FC650
- SHA256:
- MD5: 61ac3efdfacfdd3f0f11dd4fd4044223
- Известно, что до 26624 размер байт в большинстве Windows;
Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением userinit.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.
Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами
Кроме того, функциональность вируса может сама влиять на удаление userinit.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.
Могу ли я удалить или удалить userinit.exe?
Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.
Лучшая диагностика для этих подозрительных файлов - полный системный анализ с ASR Pro or это антивирус и средство для удаления вредоносных программ, Если файл классифицирован как вредоносный, эти приложения также удалят userinit.exe и избавятся от связанных вредоносных программ.
Однако, если это не вирус, и вам нужно удалить userinit.exe, вы можете удалить Windows NT Server с вашего компьютера, используя его деинсталлятор. Если вы не можете найти его деинсталлятор, вам может понадобиться удалить Windows NT Server, чтобы полностью удалить userinit.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.
- 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Установка и удаление программ.
- 2. Когда вы найдете программу Windows NT Serverщелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
- 3. Следуйте инструкциям по удалению Windows NT Server.
Наиболее распространенные ошибки userinit.exe, которые могут возникнуть:
• «Ошибка приложения userinit.exe».
• «Ошибка userinit.exe».
• «userinit.exe - столкнулся с проблемой и будет закрыт. Приносим извинения за неудобства».
• «userinit.exe не является допустимым приложением Win32».
• «userinit.exe не запущен».
• «userinit.exe не найден».
• «Не удается найти userinit.exe».
• «Ошибка запуска программы: userinit.exe».
• «Неверный путь к приложению: userinit.exe».
Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с userinit.exe. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.
Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.
Чтобы помочь вам проанализировать процесс userinit.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.
Обновлено ноябрь 2021 г .:
Мы рекомендуем вам попробовать этот новый инструмент. Он исправляет множество компьютерных ошибок, а также защищает от таких вещей, как потеря файлов, вредоносное ПО, сбои оборудования и оптимизирует ваш компьютер для максимальной производительности. Это исправило наш компьютер быстрее, чем делать это вручную:
(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)
Загрузите или переустановите userinit.exe
Технические особенности Windows NT
Windows NT (новая технология) - это 32-битная операционная система, которая поддерживает вытесняющую многозадачность. На самом деле существует две версии Windows NT: Windows NT Server, предназначенный для работы в качестве сервера в сетях, и Windows NT Workstation для автономных или клиентских рабочих станций.
Читайте также: