O processo WinLogon.exe não inicia o LogonUI.exe no Windows 7

0

Estou tentando depurar uma máquina com Windows 7 que não está iniciando o Windows. A animação de carregamento do Windows é reproduzida, a tela fica preta e o cursor aparece no centro. Eu posso mover o cursor, mas nada mais acontece.

A sequência de autenticação segura (Ctrl-Alt-Delete) não faz nada. Não há tela de boas vindas, nenhuma conta parece estar carregada. O modo de segurança também não funciona, comporta-se da mesma maneira que o modo normal.

Eu anexei um depurador de kernel através da porta 1394 e o WinDbg no meu host está funcionando bem. Eu posso analisar os processos / threads em execução no alvo durante a tela preta.

Encontrei um ótimo artigo descrevendo o processo de inicialização do Windows 7 aqui: link

SMSS.exe, CSRSS.exe, WinInit.exe, LSASS.exe, LSM.exe, todos parecem estar carregados.

O WinLogon também é carregado. É suposto iniciar o processo LogonUI.exe, mas isso nunca acontece. Segundo o artigo, WinLogon é suposto para carregar o UXinit.dll, mas isso nunca acontece. Eu posso encontrar este módulo carregado em outro PC que eu tenho, mas de acordo com WinDbg nunca é carregado no WinLogon na minha máquina de destino.

Eu verifiquei o stacktrace de todos os threads (~ 4) dentro do WinLogon durante a tela preta, e parece que não há nada pendurado. O segmento que parece ser o segmento "principal" parece fazer um loop em uma função chamada WaitForLSMStart para sempre, o que eu acho que foi o problema, mas o LSM.exe está carregado e notei esse loop rodando dentro do WinLogon em outras máquinas ativas em execução. Eu acredito que isso tem algo a ver com os serviços de terminal?

Parece-me que algo está errado no Winlogon que o impede de iniciar o processo LogonUI e não consigo descobrir o quê.

Alguma idéia?

    
por Matviy Kotoniy 03.04.2015 / 19:19

1 resposta

0

Observe a configuração do Winlogon que está em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon e compare-a com um sistema em funcionamento. Especificamente, há UIHost valor que deve vincular a logonui.exe e Notify subkey que lista outras DLLs carregadas em determinados momentos.

Se as entradas estiverem corretas, logonui.exe ou alguma DLL da qual ela depende pode estar corrompida.

O ERD commander (agora chamado de MsDaRT) pode ajudá-lo a explorar o sistema offline e pode consertar isso (ele tem um assistente para "corrigir automaticamente os problemas de inicialização" com uma funcionalidade não especificada).

    
por 17.02.2016 / 06:16

Tags