Не загружается Explorer.exe
 

После заражения компа смс-вымогателем при входе в систему тупо черный экран, запускается тока через выполнение новой задачи. \Winlogon\Shell все в порядке, userinit тоже, сам файл эксплорера тоже в порядке. Подскажите где можно еще копнуть?

и что там?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - в этом разделе?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ключик "Shell" параметр "explorer.exe"

в журналах нашел событие от Winlogon
Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe.

У тебя скорее всего вирус в файле userinit.exe, посмотри эту тему

Я после всех операций ставил SP1 он должен был заменить userinit.exe, полагаю что он не является зараженным.

также имеется еще одно событие от Winlogon
Ошибка обработки события уведомления из-за недоступности подписчика уведомлений winlogon <SessionEnv>.

Dr.FRECH, посмотрите еще в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
(если там есть userinit.exe, удалите).

Спасибо, удаление ключа помогло

добрый день. такая же проблема.

1. черный экран при обычной загрузке, можно нажать ctrl-alt-del, появится меню, но диспетчер задач при выборе в меню не появляется
2. в безопасном режиме рабочий стол появляется.
3. sfc /scannow прошел и чего-то восстановил
4. chkdsk прошел и не нашел проблем
5. в логах есть " Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe."
6. в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options userinit отсутствует
7. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "explorer.exe"

что делать?

Userinit - C:\Windows\System32\Userinit.exe, ?
Как определить, является проблема системной или вызвана сторонним приложением/службой
Запустите по поиску в реестре userinit.exe, Где присутствует ?

да.
только в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

помогло добавление ИНТЕРАКТИВНЫЕ и Прошедшие проверку в группу Пользователи, как сказал Petya V4sechkin.

большое спасибо! помогло добавление в группу "пользователи" групп "ИНТЕРАКТИВНЫЕ" и "Прошедшие проверку".

Доброго дня. Такая же проблема, но закручено ещё больше

Windows 7 Pro SP1 x64

1. пустой экран при обычной загрузке, можно нажать ctrl-alt-del, появится меню, но диспетчер задач при выборе в меню не запускается
2. в безопасном режиме рабочий стол появляется. Кмк это из-за проблемы, похожей на [решено] Не могу войти администратором , т.к. при отключении UAC рабочий стол отображается у администратора и не в безопасном режиме. Группы "ИНТЕРАКТИВНЫЕ" и "Прошедшие проверку" в "Пользователи" присутствуют
3. sfc /verifyonly прошёл и ничего не нашёл
4. chkdsk прошёл и не нашёл проблем
5. в логах есть " Процессу входа в Windows не удалось запустить пользовательское приложение. Имя приложения: . Параметры командной строки: C:\Windows\system32\userinit.exe."
6. в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options userinit.exe отсутствует
7. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "explorer.exe"
8. в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" = "C:\Windows\system32\userinit.exe,"

Что ещё можно проверить?

upd: При включённом UAC рабочий стол у членов группы Администраторы НЕ загружается, при полностью отключённом - загружается. У пользователей, вне зависимости от положения ползунка UAC, происходит выход из системы сразу после входа, в т.ч. и в безопасном режиме. Создал новый локальный профиль пользователя - поведение аналогичное

Marat Abdulin, проверьте, нет ли упоминаний explorer.exe или userinit.exe в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
На ошибке правой кнопкой мыши -> Копировать -> Копировать сведения как текст -> выложите.

Разделов explorer.exe или userinit.exe нет

отчёт с VirusTotal про установленный файл userinit.exe , проблем нет

Marat Abdulin, можно попробовать сделать лог Process Monitor при загрузке системы (для этого в меню Options -> включите флажок Enable Boot Logging) и входе под проблемной учетной записью.
Если удастся, сохраните лог в PML-формате, заархивируйте и выложите на любой файлообменник, например rghost.ru.

http://rghost.ru/private/88w2njnfh/c...1d4d36d85e6c11
Поискал сам по строкам userinit и winlogon, вроде ничего подозрительного. Но очень большой объём лога, где именно смотреть не знаю...

Порядок действий:
- загрузился под учёткой администратора, запустил ProcMon, активировал Boot Log, перезагрузился
- ввёл учётные данные учётки с правами пользователя, ровно в 14:47 нажал Enter, произошёл логин и сразу выход из системы
- ввёл снова учётные данные администратора и загрузился, запустил ProcMon, отключил Boot Log (итого должно быть 2 логина в логе)
- всё выполнялось при отключенном UAC

Marat Abdulin, PML-файл только один создался?
Обычно получается два или три.

Petya V4sechkin, ваша правда, файлов было сохранено три. Посчитав это неким глюком или разбиением по времени и, учитывая, что самый "жирный" файл охватывал весь диапазон по времени загрузки, приложил именно его. Полагаю, все три файла были необходимы? К сожалению, доступ к проблемной машине будет только в понедельник

upd: Ох, кажется, понимаю в чём был неправ. Скачав свой же лог и получив facepalm, могу предположить, что Process Monitor отображал мне сведения из всех трёх файлов сразу, а я думал, что только из первого. Соответственно выложил лишь бесполезную первую часть загрузки

Marat Abdulin, все нужны, да.
Тогда и продолжим.

Bootlog. Интервал "загрузки" профиля с правами пользователя (цикл логон-автологофф) 08:25:00-08:25:25. Спасибо

Marat Abdulin, начинаем распутывать: в процессе Userinit.exe никаких подозрительных событий, но сразу вылетает с кодом 0xc0150002 - смотрим события в процессе Csrss.exe - видим:
На указанном файле правой кнопкой мыши -> Свойства -> вкладка Безопасность -> кнопка Дополнительно -> покажите скриншот.

Petya V4sechkin, указанный файл найти - глаза сломаешь :) поэтому "скрин" из консоли
Собственно, да. Права недостаточные для обычных пользователей. Посмотрел соседние файлы, там права наследуются от родительской папки Manifests. Сделал сброс
Однако, это ничего не изменило.

Отфильтровал по ACCESS DENIED другие пойманные монитором файлы. Тоже сбросил им права доступа. После этого уже перестал происходить автоматический выход из системы, но стал отображаться пустой рабочий стол без explorer'a. Диспетчер задач также не запускался. Собрав новый бутлог монитором обнаружил ещё несколько файлов с ACCESS DENIED из winsxs и такими же обрезанными правами только для для Системы и Администраторов. Поступил радикально
Возможно, это повлечёт негативные последствия в будущем (хотелось бы услышать авторитетное мнение на этот счёт), но в данный момент загрузка всех профилей стала происходить нормально.

Спасибо за помощь!

Marat Abdulin, насколько я вижу, после reset нормальные разрешения.