• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

SFC: повреждён файл UserInit.exe

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#1
// Перенесено из темы: Желающим поучавствовать в доработке нового релиза скрипта SFC

Кирилл, Посмотришь, что там
2017-05-16 22:19:12, Info CSI 000040e9 [SR] Could not reproject corrupted file \??\C:\Windows\SysWOW64\userinit.exe; source file in store is also corrupted
У меня на 10-ке ещё в контекстном меню нет пункта создать картинку
create.png И рабочий стол долго думает по ПКМ..
По ссылке http://support.microsoft.com/?kbid=4014172 ошибка https://support.microsoft.com/ru-ru/help/4014172
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
==================== End of FRST.txt ============================
 

Вложения

Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Сообщения
13,383
Симпатии
5,901
#4
Phoenix, нужно создать точку восстановления и скопировать с дистрибутива файл userinit.exe в папку

WinSxS\wow64_microsoft-windows-userinit_31bf3856ad364e35_10.0.15042.0_none_f7a5dd2f3ed02235\ ( меняем старый файл userinit.exe)

Затем произвести проверку снова.
Обязательно скопируй старый файл - сравнить версии и хэш если поможет.

Если все не сработает, то запусти скрипт снова - персональные процедуры восстановления - восстановление хранилища - стандартная проверка sfc
Должно все заработать после перезагрузки.
Можно по событиям через мониторинг файловой системы, запущенный на время проверки. Вот асинхронная следилка.
Правда, он тебе покажет только факт замены, но не случай, когда файл повреждён, но отсутствует на дистрибутиве / в хранилище.
Я через журнал событий хотел))0
Там все видно будет.
p.s.
у Phoenix лог интересный.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,736
Симпатии
5,640
#5
Последнее редактирование:

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#6
Затем произвести проверку снова.
\Sigcheck>sigcheck -nobanner -h -u -e c:\windows\system32\userinit.exe
c:\windows\system32\userinit.exe:
Verified: Unsigned
Link date: 22:42 15.05.1946
Publisher: n/a
Company: Microsoft Corporation
Description: Userinit Logon Application
Product: Microsoftо Windowsо Operating System
Prod version: 10.0.15042.0
File version: 10.0.15042.0 (rs2_release.170219-2329)
MachineType: 64-bit
MD5: 6D546B40DDC5BE9598E1BA4C1F270A85
SHA1: 7B7D5856724B32A50C3B2C1ECADEADEAA6A3DF16
PESHA1: 0E5B3A747972CD3EEF19D62B8206E56A6BE1B340
PE256: 4FAB9189B77431BAFD990FE49F70CA2FCA4A397A996472E09EE805C0D117F7C1
SHA256: 0C70F1D12834F1E90C672355A4C127EE8383D8B6C1092A1E203A5CBE46634FE2
IMP: EEC70E47C52E582AC9955530F77A4972

\Sigcheck>sigcheck -nobanner -h -u -e c:\windows\syswow64\userinit.exe
c:\windows\syswow64\userinit.exe:
Verified: Unsigned
Link date: 5:35 30.10.2015
Publisher: n/a
Company: Microsoft Corporation
Description: Userinit Logon Application
Product: Microsoftо Windowsо Operating System
Prod version: 10.0.10586.0
File version: 10.0.10586.0 (th2_release.151029-1700)
MachineType: 32-bit
MD5: A878CF325C93723B5017642E6FDB80E8
SHA1: 48BC0F4BF0CD515940675BBAE72268D4456C9E7B
PESHA1: 98D3A4B16530E8465A6ABD57309C40CA16065E33
PE256: CC22DDFC152088B8B50A31F988C5E25B788BA4912EDCAC83D63681BD0FEEB57F
SHA256: 2B563D081ACD66C04B83B22C57FBBD20481843DC6B93C7EB4244C34649E5C8C0
IMP: 0C79B4834B30F0F69FC2C5326DD74AD6
А это с диска.
>sigcheck -nobanner -h -u -e F:\ISOs\userinit*.exe
f:\isos\userinit-sys32.exe:
Verified: Unsigned
Link date: 22:42 15.05.1946
Publisher: n/a
Company: Microsoft Corporation
Description: Userinit Logon Application
Product: Microsoftо Windowsо Operating System
Prod version: 10.0.15042.0
File version: 10.0.15042.0 (rs2_release.170219-2329)
MachineType: 64-bit
MD5: 6D546B40DDC5BE9598E1BA4C1F270A85
SHA1: 7B7D5856724B32A50C3B2C1ECADEADEAA6A3DF16
PESHA1: 0E5B3A747972CD3EEF19D62B8206E56A6BE1B340
PE256: 4FAB9189B77431BAFD990FE49F70CA2FCA4A397A996472E09EE805C0D117F7C1
SHA256: 0C70F1D12834F1E90C672355A4C127EE8383D8B6C1092A1E203A5CBE46634FE2
IMP: EEC70E47C52E582AC9955530F77A4972
f:\isos\userinit-wow64.exe:
Verified: Unsigned
Link date: 6:02 22.02.2019
Publisher: n/a
Company: Microsoft Corporation
Description: Userinit Logon Application
Product: Microsoftо Windowsо Operating System
Prod version: 10.0.15042.0
File version: 10.0.15042.0 (rs2_release.170219-2329)
MachineType: 32-bit
MD5: 0FD6CADFD95645DFAF636056F7F8FA7B
SHA1: B129BC154AAB34B5C220881ED3B977C44DC897EF
PESHA1: F5877AC5B0BC815EC612BDC9F7CF92E7999AFA5D
PE256: 9FC6DB2D87931EB8F58C385AF945D1DEBDA263A6FCD5730F3C3FA20BB01727B2
SHA256: F9B924B7B79D400ACB6A468E251769C55F0CBE916E98C503F3C58DCBAD187C0D
IMP: 9DA6B1AF508A974E5CC4E2A892FAE7AE
Думаешь надо заменять ?
 

Кирилл

Команда форума
Администратор
Сообщения
13,383
Симпатии
5,901
#7
Ты спросил где числится ошибка я ответил.
Только я говорил про папку WinSxS\wow64_microsoft-windows-userinit_31bf3856ad364e35_10.0.15042.0_none_f7a5dd2f3ed02235\
sfc ссылается на то, что идет несоответствие хэш с файлом из этой папке, а файл в этой папке поврежден.
Соотвественно я просил провести эксперимент именно с файлом в этой папке,предварительно создав точку восстановления..
А затем новую проверку sfc
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#8
c:\windows\winsxs\wow64_microsoft-windows-userinit_31bf3856ad364e35_10.0.15042.0_none_f7a5dd2f3ed02235\userinit.exe:
Verified: Unsigned
Link date: 18:21 30.10.2001
Publisher: n/a
Company: Microsoft Corporation
Description: Userinit Logon Application
Product: Microsoftо Windowsо Operating System
Prod version: 10.0.15042.0
File version: 10.0.15042.0 (rs2_release.170219-2329)
MachineType: 32-bit
MD5: 20B50CC24B11320A90B40BC693883FCD
SHA1: 6221A991D50867FC9813489C6916728EDA3D0324
PESHA1: 6417BC320264102BB43F583FFEB302D5491A9521
PE256: 1BBCC3A7DCD4BB1F9601676FA15336DE59AE0F6AD9BF2663C3AF0E99EA2014F8
SHA256: 9A11D3003FF6D539327E5250C08B5610966BF5468625E6F1DC26A617AB543DFE
IMP: 9DA6B1AF508A974E5CC4E2A892FAE7AE
Antivirus scan for 9a11d3003ff6d539327e5250c08b5610966bf5468625e6f1dc26a617ab543dfe at 2017-10-28 19:17:42 UTC - VirusTotal - 52 / 61
Antivirus scan for 9a11d3003ff6d539327e5250c08b5610966bf5468625e6f1dc26a617ab543dfe at 2017-10-28 19:17:42 UTC - VirusTotal - 55 / 65

modification of Win32.Virut.56 :Black Eye:
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#12
С почином, бро)))
Похоже, надо в раздел лечения идти)))
Да, спасибо. Пойдём долечимся :Blush2: (мы с Dragokas в лс зависания тоже вылечили - оказалось на 10 были дрова нвидиа для 8-ки почему то..)
Перенесёшь или создать тему ?
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,736
Симпатии
5,640
#14
Phoenix, а после лечения попробуй переустанови KB4014172 и сделай повторный SFC. Интересно сравнить логи.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,383
Симпатии
5,901
#16
Запусти вручную - cmd от имени администратора - sfc /scannow
Похоже пора твои посты в отдельную тему выносить.
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#17
CMD/BATCH:
::Средство проверки системных файлов позволяет проверить версии всех защищенных файлов. Если при проверке системных файлов обнаруживается, что защищенный файл был изменен, то он заменяется его исходной версией.
CD /D "%~dp0"
@echo off
Chcp 866 >nul
Так запустился.
 

Phoenix

Активный пользователь
Сообщения
2,097
Симпатии
2,052
#19
C:\Windows\SysWOW64\userinit.exe; source file in store is also corrupted
всё тоже - файлы не проходят проверку..
Сделай в скрипте - копирование логов из темпа в текущую папку. С той строкой это получится - она указывает на место запуска скрипта, а не system32, где находится cmd.
То есть скрипт себя найдёт как в текущей папке. Если что Dragokas подскажет.
 

Вложения

  • 877.2 KB Просмотры: 1
Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
13,383
Симпатии
5,901
#20
Phoenix, файл хранилища поврежден.
Запусти скрипт - персональные процедуры восстановления - восстановление хранилища данных.
Затем sfc и перезагрузка.
Должно помочь.
Сделай в скрипте - копирование логов из темпа в текущую папку. С той строкой это получится - она указывает на место запуска скрипта, а не system32, где находится cmd.
Я в курсе))0
А зачем?
 
Сверху Снизу