Ho un problema con un computer: il sistema operativo sembra funzionare correttamente sino al punto in cui inizia la procedura di verifica dell’utente, il logon. La schermata di registrazione visualizza l’unico account presente, quello di Ad …
Ho un problema con un computer: il sistema operativo sembra funzionare correttamente sino al punto in cui inizia la procedura di verifica dell’utente, il logon. La schermata di registrazione visualizza l’unico account presente, quello di Administrator. Quando vi clicco sopra inizia il caricamento delle operazioni personali, poi compare la scritta disconnessione in corso, tornando dopo alcuni secondi alla schermata dell’account. Mi risulta che sia stato aperto il Task Manager e che siano stati eliminati tre processi. Di cosa si potrebbe trattare?
Da Task Manager si possono interrompere dei processi in esecuzione esclusi quelli assolutamente necessari per il sistema, la cui terminazione è comunque impedita dal sistema stesso, tuttavia i processi non vengono cancellati. Al successivo riavvio del sistema, i processi fermati nella sessione precedente ritornano operativi. Non è dunque un problema di processi eliminati dal Task Manager.
Il servizio Winlogon, che è quello che si avvia con la selezione dell’account e l’inserimento della password, cerca di caricare dal registro due processi che avviano le shell di sistema e personale, questi processi sono explorer.exe e userinit.exe.
Le indicazioni per avviare i due processi si trovano nella chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon del registro di Windows. Alcuni malware modificano o cancellano questi processi causando l’inconveniente della disconnessione immediata. Questo complica le cose per la riparazione.
Non è possibile risolvere il problema avviando il computer nella modalità provvisoria, dato che anche qui sono richiamati i due processi citati. Se il computer era collegato in una rete, oppure possiede una scheda di rete ed è predisposto per il collegamento, si può tentare la riparazione da un altro computer della rete.
Da qui cliccate su Start, Esegui, digitate regedit e premete OK. Selezionate col tasto sinistro del mouse la chiave HKEY_LOCAL_MACHINE, cliccate su File, Connetti a registro di sistema in rete. Digitate il nome del computer difettoso e localizzate la chiave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Nella finestra di destra selezionate i due valori Shell e Userinit. Modificate questi due valori in Shell=explorer.exe e Userinit=c:\windows\system32\userinit.exe. Se i due file sono stati cancellati, oppure non vi ricordate il nome del computer o esso non è predisposto in rete, provate con questo metodo alternativo.
Rimuovere il disco infetto, installatelo provvisoriamente in un altro computer funzionante e sottoponetelo ad una scansione completa da parte di programmi antivirus e antispyware.
Dopo la pulizia, copiate dal computer funzionante i due programmi nel disco del sistema operativo con il problema. Explorer.exe è localizzato nella cartella x:\windows, mentre userinit.exe è in x:\windows\system32.
Per esempio, se il sistema operativo del computer funzionante si trova in C: e al disco infetto è stata assegnata la lettera D:, dovete copiare Explorer.exe da C:\Windows a D:\Windows. Confermate la sostituzione anche se il sistema dice che i due file sono già presenti, potrebbe trattarsi di copie infette.
Potrebbe esserci un problema di impossibilità di accedere ai dati del disco infetto a causa della protezione del file system NTFS, in questo caso entra in gioco la terza soluzione, la riparazione del sistema operativo. Inserite il CD di Windows nell’unità ottica, seguite la procedura fino al punto in cui rileverà l’esistenza di una precedente installazione. Tra le opzioni proposte, selezionate la riparazione che corregge gli errori senza cancellare quanto si trova sul computer.
