Apareceram aqui 3 computadores na empresa que ao iniciar no windows voltam a parte do logon do cliente .. julgo que isto sera uma virose .. ja alguem teve mais este problema e como resolveram ..



De qualquer maneira vou continuar a pesquisar pois tenho urgencia na resolução disto mesmo...

obrigado

Cheira-me a produto não activado, será?

nao clientes diferentes situaçoes identicas ... ele ate faz o som de entrada no windows e de saida logo de seguida ..

É virus quase de certeza, e dos maus... da última vez que vi um pc assim, foi format em cima!!!

problema resolvido 2mn nada de format

windows mini pe e editor do registro do windows


problema

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
Value: Userinit
Data: %system32%\wsaupdater.exe
"



e alterar para


"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
Value: Userinit
Data: %system32%\userinit.exe "

Mas chegas-te a detectar virose ou não? foi apenas um bugzito?

É um virus, eu e mais umas 10 pessoas (que já vi) aqui no forum estão com o mesmo problema desde à dois dias para cá, só consegui entrar em modo de segurança e mesmo assim só fez logon com a conta de admin, corri o AV e apaguei umas entradas, agora já nem no modo de segurança entra... tentei reinstalar o win e agora faz a reinstalação e quando faz reset para iniciar o win fica com o monitor todo preto só com o cursor do rato no meio e não passa dali...

format c:

Reeinstalas e mesmo assim nada? Mas reinstalas como? Formatas? ou fazes a recuperação do sistema?

Cumps ;)

Aconteceu-me isso também! Eu sei que fui virus porque fui precipitada e infectei-me a mim mesma. Quando o tentei apagar manualmente aconteceu-me isso (era um ficheiro estranho que se iniciava. Vê http://www.techzonept.com/showthread.php?t=221855). Entrava, quer como administrador ou utilizadora e logo saía. Os sons de inicio e fim da sessão.
Com o cd do XP fiz um restauro ao sistema, que pelos vistos limpou o ficheiro. Deixou de ser carregado automaticamente mas tinha ainda uma entrada no MsConfig. Que desliguei. Agora parece estar bom mas ando com receio porque nenhum antivirus o detectou.

isso a maneira mais simples e arranjar um cd de boot e correr qualquer tipo de software que permita alterar o registry do windows e altere as chaves que deixei aqui...

Boas a todos.
É a 1ª vez que participo neste fórum.
Eu tenho este problema aqui descrito, no entanto, já tentei iniciar o pc em modo de segurança e não consigo. Já tentei iniciar com 2 "programas de arranque" e com o cd do win98 e népias........ não dá, o pc nao arranca nada com o drive de cd's......é que se pelo menos conseguisse ir ao DOS, depois com um editor conseguia alterar o que foi dito pelo fireburn....mas não consigo arrancar......arranca até á pagina inicial do win xp da password e daí não passa.....
Sugestões?

PS.este post foi colocado através de outra máquina como é óbvio.....lol

problema resolvido 2mn nada de format

windows mini pe e editor do registro do windows


problema

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
Value: Userinit
Data: %system32%\wsaupdater.exe
"



e alterar para


"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
Value: Userinit
Data: %system32%\userinit.exe "


alguem pode fazer-me o favor de me esplicar um pouco melhor como fazer isto?

cumpz[[]]

isso a maneira mais simples e arranjar um cd de boot e correr qualquer tipo de software que permita alterar o registry do windows e altere as chaves que deixei aqui...

alguem por favor é capaz de me dizer um nome de um boot cd para isto? eu preciso mesmo muito disto.

cumpz[[[]]

pa, eu preciso mesmo do nome de um cd para fazer isso, a minha irma tem um trabalho que tem que acabar e entregar amanha, é mesmo urgente.

cumpz[[]]

pa, eu preciso mesmo do nome de um cd para fazer isso, a minha irma tem um trabalho que tem que acabar e entregar amanha, é mesmo urgente.

cumpz[[]]

Se conseguires entrar em modo de segurança, vai ao msconfig e desactiva as entradas de arranque suspeitas!!

não se foi este o caso, mas deixo um aviso:
Deixem de abrir a pen com duplo clique... principalmente quem as usar em pcs publicos (bibliotecas das escolas principalmente).

Abrir a pen com duplo clique é meio caminho andado para infectar o pc!!


Esse virus que descrevem neste topico, provavelmente é um programa que manda o pc terminar a sessao! o pc ao arrancar recebe ordens para terminar sessao..



O pc deve ligar em modo de segurança, uma vez que nesse modo ele apenas carrega os ficheiros essencias para o pc funcionar.. aí basta desactivar as entradas suspeitas do arranque.

Verifica também as entradas do registo que o fireburn disse.


para aceder ao msconfig: iniciar->executar->msconfig
para aceder ao regedit: iniciar->executar->regedit

Se conseguires entrar em modo de segurança, vai ao msconfig e desactiva as entradas de arranque suspeitas!!

não se foi este o caso, mas deixo um aviso:
Deixem de abrir a pen com duplo clique... principalmente quem as usar em pcs publicos (bibliotecas das escolas principalmente).

Abrir a pen com duplo clique é meio caminho andado para infectar o pc!!


Esse virus que descrevem neste topico, provavelmente é um programa que manda o pc terminar a sessao! o pc ao arrancar recebe ordens para terminar sessao..



O pc deve ligar em modo de segurança, uma vez que nesse modo ele apenas carrega os ficheiros essencias para o pc funcionar.. aí basta desactivar as entradas suspeitas do arranque.

Verifica também as entradas do registo que o fireburn disse.


para aceder ao msconfig: iniciar->executar->msconfig
para aceder ao regedit: iniciar->executar->regedit


pa eu ja compreendi isso tudo, e como eu disse, não posso entrar em nenhuma conta de forma alguma(ja esperimentei todos os modos), eu so preciso que alguem por favor me diga um nome de um boot cd (como o fireburn disse para alterar no caso como o meu), e de preferencia free, para eu o poder sacar e a minha irma entregar o trabalho amanha.

Podes tentar com o hirens boot cd!!!

pois com esse consigo xgar a parte para alterar, mas ele pede para alternar em binario =x, por isso preciso de outro boot cd...

pois com esse consigo xgar a parte para alterar, mas ele pede para alternar em binario =x, por isso preciso de outro boot cd...
tens mais algum PC em casa? Olha se o trabalho estiver no Disco Rígido, porque não montas o disco noutro PC e acedes como um disco secundário...? :)

eu tive esse problema.. vi me a rasca.. instalei de novo o windows... :P

agora ja sei uma soluçao para isso!! e' no registo do windows... ok ! nice one! :D

tens mais algum PC em casa? Olha se o trabalho estiver no Disco Rígido, porque não montas o disco noutro PC e acedes como um disco secundário...? :)

é um portatil, se abrir perco a garantia

Um dos boot CD's que podes usar é o BartPE, se precisares de o criar tens um tutorial no meu site (http://www.venenodigital.com/articles/20070228_0001.php).

Outra alternativa seriam os projectos do Winbuilder (http://www.boot-land.net/forums/WinBuilder-t5.html).

Windows Log on and Log off immediately.
View products that this article applies to. (http://support.microsoft.com/kb/555648/en-us#appliesto)
Author: Nirmal Sharma MVP
Community Solutions Content Disclaimer (http://support.microsoft.com/kb/555648/en-us#csDisclaimer)
Article ID:555648Last Review:January 1, 1900Revision:1.0
SUMMARY

Windows Log on and Log off immediately
http://support.microsoft.com/library/images/support/kbgraphics/public/en-us/uparrow.gifBack to the top (http://support.microsoft.com/kb/555648/en-us#top)

SYMPTOMS

You may face this problem when logging on to Windows. When you type user name and password you are again presented with User name and Password dialogue box. You try hard to get in but to no avail. http://support.microsoft.com/library/images/support/kbgraphics/public/en-us/uparrow.gifBack to the top (http://support.microsoft.com/kb/555648/en-us#top)

CAUSE

You may not be able to log on to system using either Normal Mode or Safe Mode. This occur only when Winlogon service tries to load the Windows default shell (explorer.exe) and user shell (userinit.exe) from registry. This service searches for Explorer.exe and Userinit.exe in the following path of registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
http://support.microsoft.com/library/images/support/kbgraphics/public/en-us/uparrow.gifBack to the top (http://support.microsoft.com/kb/555648/en-us#top)

RESOLUTION

Edit these values and type the correct path of shell :

Shell = explorer.exe
Userinit=X:\windows\system32\userinit.exe

NOTE: These files may also be deleted by spywares. You may need to extract them using Windows CD.

Original: http://support.microsoft.com/kb/555648/en-us

Aqui têm uma possível resolução para a coisa. Isto aplica-se ao Win2000 mas penso que tb se pode aplicar ao XP.

Agora o que eu não sei é mesmo como fazer o que está na última nota que coloquei a Bold, ou seja, como é que eu extraio esses ficheiros do Cd do Windows? É que estou com a mesma porcaria de problema por causa de um virus/malware que apanhei estupidamente.

Cumps.

PsicoPete, tens o utilitário que vem com o windows, start, run-> sfc.exe (http://support.microsoft.com/kb/310747)

O problema é que se eu não consigo entrar em nenhuma conta do windows (nem como Admin) não consigo fazer "Start -> Run" nem tão pouco correr o sfc.exe. :D
Mas obrigado na mesma. ;)
Any ideas?

Cumps.

Eu entrei em pânico quando me aconteceu o mesmo. E o pior é que nem fiz nada, hoje de tarde, para sacar esse bichinho. Mas a verdade é que aconteceu...
Se não fôsseis vós, a esta hora estava a praguejar contra o meu azar e, provavelmente, a atirar-me de volta para o tabaquinho, agora que ando há 2 semanas sem ele... LOL

Mas, indo ao que interessa, fiz o que o Fireburn pôs, assim como o PsicoPete, e já está a bombar!!!!!!
Mais uma vez, o TechzonePT salvou-me a vida (quase, pronto)!

eu tenho exactamente o mesmo problema, nao consigo entrar, alias entra mas termina logo a sessao...
Como posso editar a reg keys sem poder aceder star-run?
Tou mesmo desesperado, tenho um montao de trabalhos que nao estao gravados em dvd e se os perco tou literalmente f******. Queria ver se conseguia salvar isso.
Gostava de tentar o que foi dito antes, mas nao sei como fazer, alguem pode explicar isso de uma forma mais simples.
Obrigado

Boas.

Ora bem, como muitos de vocês tive o mesmo problema. Não conseguia entrar em modo de segurança sequer.

A minha solução foi pegar no CD original do Windows e fazer uma recuperação do Windows. Resultou na perfeição. Resolvi o problema sem perder nada do que tinha no disco.

Boas,

à partida a solução é relativamente simples...

Como já foi dito é só editar as chaves do registry do windows indicadas usando os programas que vêm no "hiren's boot cd" e mudar os valores referidos.
E isso é bastante simples de fazer usando por exemplo o Registry Viewer 4.2 que lá vem.

No meu caso foi bem mais dificil porque tenho os discos em raid 0 e o hiren's não carrega os drivers de sata raid do nforce3 o que faz com que não reconheça os ditos discos. Implicou nova instalação do XP noutra partição com um CD "nLited" do XP e edição do registo através da nova instalação.
Foi um "bico" do caraças mas já está resolvido.

Cumps.

epa ja modifiquei os ficheiros no system32 e nao consegui aceder, ja fiz recuperaçao do sistema atraves do cd do windows e nao deu. Tentei criar uma usb pen con o hiren boot mas nao deu.
Vou tentar criar um cd, mas nao tenho gravador de cd´s no computador que me encontro....
Mais alguma sugestao?

Boas,

à partida a solução é relativamente simples...

Como já foi dito é só editar as chaves do registry do windows indicadas usando os programas que vêm no "hiren's boot cd" e mudar os valores referidos.
E isso é bastante simples de fazer usando por exemplo o Registry Viewer 4.2 que lá vem.

No meu caso foi bem mais dificil porque tenho os discos em raid 0 e o hiren's não carrega os drivers de sata raid do nforce3 o que faz com que não reconheça os ditos discos. Implicou nova instalação do XP noutra partição com um CD "nLited" do XP e edição do registo através da nova instalação.
Foi um "bico" do caraças mas já está resolvido.

Cumps.

Sempre k tento usar o registry viewer 4.2 ele diz "general failure reading c abort/retry/cancel ...tou mesmo lixado e foi d um virus k infectou um file k desgravei e isto fikou assim, ja nao sei kal o nome.
E tb nao consigo fazer o restauro do windows, kando sai pra dos depois d escolher r e o nome do admin, o k devo escrever na linha d comando?

No meu caso, a string que estava no Userinit era "wscrntfy.exe", e passadas algumas horas, o meu anti-vírus (AVG) já o detectava como trojan...
O que é curioso, o sistema está cheio de ficheiros desses, mas aquele era mesmo malicioso (ruim, mesmo)...

No meu caso, a string que estava no Userinit era "wscrntfy.exe", e passadas algumas horas, o meu anti-vírus (AVG) já o detectava como trojan...
O que é curioso, o sistema está cheio de ficheiros desses, mas aquele era mesmo malicioso (ruim, mesmo)...

Ya..penso k o meu file tb yinha esse nome, o k fizeste? mudaste o nome de userinit.exe pra wscrntfy.exe ou usaste um boot cd?

ps: o file é um trojan! dam, pode tb ter estes nomes:
FLASH_WIZARD.EXE
SETUP_.EX_
58937875.EXE
68898151.EX_
61675886.EXE
84502151.EXE
40386511.EXE
44207953.EXE
85511954.EXE
48112173.EXE
92302933.EXE
69846797.EXE
07947854.EXE
85536588.EXE
CSI14.TMP
INSTALAR.EXE
26116544.EXE
89001459.SVD

...so m falta tentar esta solucao: http://eng.auburn.edu/~kummasr/download/FixLogoffXP.html

Boas,

TROJAN como ja referido:

Ficheiros criados em %Temp%:
1%Temp%\3.tmp 125 bytes0x7C5F5A68051F6B0C0E9A2AD33C40D4152%Temp%\arc hive.arq 84.660 bytes0x266E8DD7F9372DAE4AFA09E44EDAD2573%Temp%\fla sh_wizard.exe
%System%\wscrntfy.exe 315.392 bytes0xDB5FAC56693476E750B589FB1907C4884[file and pathname of the sample #1] 139.264 bytes0x868135F0440BF6258B08A4BD73FD876C

O ficheiro flash_wizard.exe pode ter outros nomes (flash_update1.exe, flash_activex.exe, etc...). tmb devem existir uma data de pequenhos ficheiros *.tmp (~1Ko) no mesmo diretorio.

Valores no Registro:

Registry Value criada:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"assim wscrntfy.exe arranca cada vez que o Windows abre

> ELIMINAR A LINHA

Registry Value modificada:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%System%\wscrntfy.exe -runservice" assim wscrntfy.exe arranca cada vez que o Windows abre

> SUBSTITUIR Com o valor inicial: "%System%\userinit.exe,

Como me aconteceu, ha fortes probabilidades para não se poder abrir uma sessão windows (entrar usuario e password, mas a sessao windows fecha-se logo).
Aconselho o uso do exelentissimo AVAST! Bart CD que permite aceder ao registro sem ter que abrir uma sessao e assim suprimir e restaurar os valores suprareferidos. Não vale a pena reinstalar o windows! Uma vez a chaves do registo restauradas, pode se eliminar os ficheiros no diretorio %Temp% (cf tabel acima) + um bom scan antivirus. O AVAST permite efectuar as operaçoes todas sem ter que entrar no windows.
Cumps. M

Trojan, como ja referido:

Novos ficheiros criados em %Temp%:

1 %Temp%\3.tmp 125 bytes 0x7C5F5A68051F6B0C0E9A2AD33C40D415
2 %Temp%\archive.arq 84.660 bytes 0x266E8DD7F9372DAE4AFA09E44EDAD257
3 %Temp%\flash_wizard.exe
%System%\wscrntfy.exe 315.392 bytes 0xDB5FAC56693476E750B589FB1907C488
4 [file and pathname of the sample #1] 139.264 bytes 0x868135F0440BF6258B08A4BD73FD876C

Consoante as versões o nome pode variar: flash_update1.exe, flash_activex.exe, etc
São criados tmb uma data de pq ficheiros *.tmp (~1ko)

Novos processos criados:

wscrntfy.exe %System%\wscrntfy.exe 327.680 bytes
[filename of the sample #1] [file and pathname of the sample #1] 139.264 bytes
flash_wizard.exe %Temp%\flash_wizard.exe 327.680 bytes

Alterações no Registro:

Nova chave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
unsrvc = "%System%\wscrntfy.exe -runservice"

wscrntfy.exe arranca cada vez k o Windows abre

> ELIMINAR A CHAVE

chave de registro modificada:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%System%\wscrntfy.exe -runservice"

wscrntfy.exe arranca cada vez k o Windows abre

> RESTAURAR A CHAVE INICIAL:
Userinit = "%System%\userinit.exe,"

Como me aconteceu, impossivel abrir uma sessao windows normal ou modo de segurança; Em vez de reinstalar o windows, sendo uma não solução, aconselho utilizar o exelente Avast! Bart CD que permite aceder ao registro sem iniciar o windows. Executa-se as operações necessarias no registo; o Avast permite tmb eliminar os ficheiros em causa no %Temp% + um scan do antivirus incluido, bastante potente.
A+. M

Ya..penso k o meu file tb yinha esse nome, o k fizeste? mudaste o nome de userinit.exe pra wscrntfy.exe ou usaste um boot cd?


No meu caso, foi entrar com Modo de Segurança e mudar a string de "wscrntfy.exe" para "userinit.exe", reiniciar e já estava!

Ainda assim, pouco tempo depois, o AVG já o estava a topar, pois o ficheiro, naturalmente, ainda por cá vivia... ;)