Windows User Group - Slovak Republic
Windows User Group - Slovak Republic Windows User Group - Slovak Republic
RSS
Windows User Group - Slovak Republic
prihlásenie
meno login
heslo
Automaticky prihlásiť
zabudli ste heslo?
zaregistrujte sa

kalendár podujatí
jún 2018 júl 2018 august 2018
po ut st št pi so ne
25 26 27 28 29 30 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 1 2 3 4 5
dnes 21.07.2018 dnes 21.07.2018

kto je online?
počet anonymných užívateľov: 3
počet prihlásených užívateľov: 2
teraz je online:
Bing [Bot], Google [Bot]

Top 10 najčítanejšie
1.Vytvorenie USB boot jed...
2.Oprava MBR sektoru bez ...
3.Windows 7 download
4.HTPC alebo ako si posta...
5.Konzole pro zotavení v...
6.Windows 7 RC v slovenč...
7.Inštalujte Windows z U...
8.Platené vs Zadarmo
9.Panika menom Conficker
10.Windows 7 RC download -...

Windows User Group - Slovak Republic

Nezaradené > Malware

Problém nemožnosti přihlášení

Windows User Group - Slovak Republic

Jedná se již o velmi starý problém, jehož řešení mi před pár lety vyneslo rank přítele fóra na jednom velmi oblíbeném českém fóru zabývající se bezpečnostní (jelikož se jedná o jediné fórum, kde tent orank mám, nebude těžké jej najít). Jelikož je ale popis řešení popsán kdesi v hlubinách onoho fora a i po dvou letech se mne občas lidé ptají, jak jej vyřešit, rozhodl jsem se jej znovu popsat na pravděpodobně viditelnějším místě.


Symptomy: po kliknutí na uživatelský účet, na který se chceme přihlásit, se místo známé obrazovky s textem "Vítejte" téměř ihned objeví nápis "Odhlašování" a Windows nás vrátí opět na obrazovku výběru uživatelského účtu.

Na počátku procesu přihlašování se totiž jeden ze systémocých procesů (winlogon.exe) podívá do registrů na hodnotu

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

 

a pokusí se spustit program, jehož cesta je uvedena v jejích datech (jedná se o řetězcovou hodnotu). Tato hodnota standardně obsahuje řetězec c:\windows\system32\userinit.exe. Winlogon.exe tedy spustí proces userinit.exe, jehož úkolem je připravit uživatelský profil na přihlášení a spustit shell, ve většině případů explorer.exe.

Jedná se tedy o hodnotu pro přihlášení klíčovou. Malware má minimálně dvě možnosti, jak jí využít:

  • Změnit její řetězec na cestu ke svému souboru. Malware je pak spuštěn místo procesu userinit.exe a může začít páchat škody velmi brzy po přihlášení. Pokud tento škodlivý program navíc spustí originální userinit.exe, uživatel nic nepozná, protože se normálně přihlásí. Může maximálně pozorovat delší dobu mezi kliknutím na svůj účet a zobrazením pracovní plochy.
  • Infikovat soubor userinit.exe. Protože se tento program spouští jen při přihlašování uživatele, není po většinu času nijak chráněn proti smazání či modifikaci (není ani pod ochranou SFC).

Ať už záškodník postupuje libovolným z výše jmenovaných způsobů, uživatel nic nemůže poznat. Problém nastává ve chvíli, kdy se do hry vloží antivirus, který v prvním případě smaže soubor, na který ukazuje ona hodnota v registrech, a v případě druhém smaže samotný userinit.exe. Cesta uložená v registrech je tedy neplatná, čímž je znemožněno přihlášení.

Řešení: Pokud byl smazán userinit.exe, stačí nabootovat do Konzole pro zotavení a tento soubor nahrát z instalačního CDčka pomocí příkazu expand. Syntaxe příkazu je následující:

expand [toriginalni_soubor] c:\windows\system32\userinit.exe

Prvním parametrem je cesta k souboru userinit.ex_ umístěném na instalačním CD. Příkaz tento soubor rozbalí a zkopíruje jej do umístění uvedeném v druhém parametru. Tím je userinit.exe v systému opět přítomen a problém s přihlašováním by měl zmizet.

Pokud malware modifikuje onu hodnotu v registrech, je potřeba její obsah přepsat zpět. K tomu nám pomůže bootovací CDčko, ať už založené na jádru Windows nebo Linuxu. Jediné, co od něho požadujeme, je možnost editace registrů. Osobně doporučuji CDčko založené na projektu BartPE, které si můžete stáhnout například z mých osobních stránek (obraz média je zabalen v samorozbalovacím archivu, proto ta přípona .exe). Obraz CD vypalte a nabootujte z něho.

Pokud použijete médium založené na Windows, spusťte editor registrů a načtěte soubor registru, který se nachází na c:\windows\system32\config\system (položka Soubor -> Načíst podregistr...). Tam je uložena větev HKEY_LOCAL_MACHINE vašeho systému. Soubor registru lze načíst jen v případě, že je označen některý z kořenů stromu registrů (například HKEY_LOCAL_MACHINE). Nyní stačí v připojeném souboru nalézt výše uvedenou hodnotu a změnit její obsah zpět na c:\windows\system32\userinit.exe. Poté můžete načtený soubor registru opět uvolnit, restartovat počítač a podívat se, zda-li problém s přihlášením stále přetrvává. Neměl by.

Závěrem dodám, že za cesty c:\windows a c:\windows\system32 si můžete doplnit cestu do kořenového resp. systémového adresáře vaší instalace systému. V článku používám cesty, které se vyskytují nejčastěji.

Problém s přihlašováním může mít určitě i jinou příčinu, kterou poustup popsaný v tomto článku neodstraní. Tento článek popisuje pouze příčinu nejčastější, se kterou jsem se několikrát setkal.

Windows User Group - Slovak RepublicWindows User Group - Slovak Republic Martin Dráb | pondelok 01. júna 2009 19:46 | Prečítané: 6822 x | hodnotenie: 4.5/5 |
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

 
Windows User Group - Slovak Republic
vyhľadávanie

partneri
SecTec - Think secure

Počítačová škola GOPAS

2 % od Vás pre WUG
2 % od Vás pre WUG

sponzori






Windows User Group - Slovak Republic
Windows User Group - Slovak Republic
Windows User Group - Slovak Republic

Copyright © 2008 Windows User Group Slovensko

Windows User Group - Slovak Republic domov Windows User Group - Slovak Republic o nás Windows User Group - Slovak Republic podujatia Windows User Group - Slovak Republic odkazy Windows User Group - Slovak Republic informačné kanály Windows User Group - Slovak Republic
Windows User Group - Slovak Republic