После лечение компьютера от Trojan.Winlock при попытке залогиниться (вводе логина и пароля) происходит завершение сеанса.
Обычно это результат "корябания" UserInit-а вирусом. Он переименовывает настоящие файлы userinit.exe или winlogon.exe на какие-то другие, а сам встает на их место, запуская их сразу же после себя. Антивирусы лечат, удаляя файл, не переименовав оригиналы. Если же они были удалены то, естественно, не восстановив.
Поэтому ОС пытается загрузить, но пользовательский интерфейс не найдя нужных файлов просто завершает сеанс.
К сожалению ни безопасный режим, ни загрузка последней удачной конфигурации не дает эффекта.
Остается только вариант запуска RegEdit из комплекта ERD Commander-а, позволяющего редактировать реестр ОС не загружаясь ее.
1. Загружаемся с диска с ERD Commander-ом, запускаем RegEdit.
2. И проверяем правильность ключей в ветке рееста
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\:
UserInit = "C:\WINDOWS\system32\userinit.exe,"
UIHost = "logonui.exe"
Shell = "Explorer.exe"
VmApplet = "rundll32 shell32,Control_RunDLL "sysdm.cpl""
Всякие бессмысленные ключи типа
a3fs8543 просто удаляем - это тоже ошметки вируса.
3. Заменяем все упомянутые файлы в папочке Windows на файлы из дистрибутива Windows, т.к. мы не можем гарантировать того, что файлы в системе настоящие.
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\sysdm.cpl
5. Перезагружаем и пытаемся залогинеться.
6. После того как войдем в систему делаем проверку системных файлов Windows с помощью команды
sfc /scannow
Группа: Гости
Регистрация: --
Статус:
НО
в моем случае еще потребовалось вот это проделать
Удалите этот раздел (если существует):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
там у меня осталась запись, на файл, который я снес.
взято с forum.oszone.net