Пустой рабочий стол, консольное окно с userinit.exe

**Tathagata** · 17.11.2011, 12:05

Симптоматика следующая. И в обычном, и в безопасном режиме при входе под любой учетной записью отображает пустой рабочий стол и черное консольное окно userinit.exe. Судя по всему, не запускается explorer.exe, что подтверждается неудачной попыткой его запуска через диспетчер задач (черное моментально исчезающее окно). Редактор реестра не заблокирован, Far также нормально запускается через диспетчер задач. Проверял раздел Winlogon - никаких признаков изменения в Shell и Userinit нет. Файлы explorer.exe, userinit.exe и taskmngr.exe как в системных папках, так и в dllcache соответствуют установочным. На всякий случай проверил их на virustotal.com. CureIt после полной проверки нашел зараженный файл (C:\WINDOWS\system32\ihmlbmxa.dll инфицирован Trojan.Click1.18983 - неизлечим - перемещен), но ситуацию это не изменило. В MMC "Управление компьютером" нет оснасток "Службы", "Локальные пользователи", "Просмотр событий". При запуске services.mmc ругается с ошибкой невозможности загрузить эту оснастку. SFC тоже не запускается, ссылаясь на незапущенную службу RPC. При попытке запуска через диспетчер задач выскакивают окна с сообщением, что "Приложение или библиотека ... не является образом программы для Windows NT."<br>

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.11.2011, 12:06

Уважаемый(ая) Tathagata, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**V_Bond** · 17.11.2011, 14:12

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 DeleteService('omqjdrfn');
 DeleteService('ndmbwfkk');
 QuarantineFile('C:\WINDOWS\system32\03.tmp','');
 QuarantineFile('C:\WINDOWS\system32\06.tmp','');
 DeleteService('hizrf');
 DeleteService('docnuux');
 DeleteFile('C:\WINDOWS\system32\04.tmp');
 DeleteFile('C:\WINDOWS\system32\06.tmp');
 DeleteFile('C:\WINDOWS\system32\05.tmp');
 DeleteFile('C:\WINDOWS\system32\03.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

такой http://virusinfo.info/showthread.php?t=40118 лог сделайте

**Tathagata** · 18.11.2011, 09:11

Скрипт выполнил. После автоматической перезагрузки ничего не изменилось. Лог Gmer прилагаю.

**V_Bond** · 18.11.2011, 10:00

сохраните содержимое в блокноте как 1.bat в папке со gmer ...запустите, повторите лог ...

Код:

uupqtpj9.exe -del service brmec 
uupqtpj9.exe -del file "C:\WINDOWS\system32\ihmlbmxa.dll"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\brmec"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brmec"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\brmec"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\brmec"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\brmec"
uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\brmec"
uupqtpj9.exe -reboot

**Tathagata** · 18.11.2011, 10:45

Скрипт прогнал. Ситуация после перезагрузки не изменилась (кроме того, что консольное окошко с userinit.exe перестало открываться и висеть). Выкладываю повторный лог Gmer. Сразу оговорюсь, что, поскольку вчера полное сканирование заняло несколько часов, то сейчас остановил его на этапе сканирования всех файлов диска, после чего сохранил лог, и снова запустил (оно сейчас в процессе) полное на случай, если Вашего упрека, что не точно следую инструкциям. Но тогда это займет несколько часов дополнительного времени.

**V_Bond** · 18.11.2011, 11:51

повторите логи авз

**Tathagata** · 18.11.2011, 12:19

Сообщение от V_Bond

повторите логи авз

Повторные логи прилагаю. И "до кучи" лог HJT.

**V_Bond** · 18.11.2011, 14:52

проверте HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit значение дожно быть C:\WINDOWS\system32\userinit.exe, с запятой ...

**Tathagata** · 18.11.2011, 15:01

Поверил. Именно такое значение и стоит, с запятой. На всякий случай перебил руками, перезагрузил - снова черное консольное окно userinit.exe, никаких улучшений.

**V_Bond** · 18.11.2011, 16:25

такой лог сделайте http://virusinfo.info/showthread.php?t=53070

**Tathagata** · 21.11.2011, 11:55

Прогнал Malwarebytes Antimalware. Лог прилагаю.

**Tathagata** · 21.11.2011, 15:08

Еще есть надежда вылечить без переустановки системы, а то уже руки опускаются.

**thyrex** · 21.11.2011, 20:05

Сделайте лог ComboFix

**Tathagata** · 22.11.2011, 09:30

Сообщение от thyrex

Сделайте лог ComboFix

Зараженный компьютер не подключен к интернету, поэтому ComboFix не смог доустановить консоль восстановления и пофиксить файлы. Система на ней стоит Home, под рукой есть Professional.

**Tathagata** · 22.11.2011, 09:38

Лог ComboFix прилагаю.

**Tathagata** · 22.11.2011, 14:21

ComboFix не смог установить консоль восстановления по причине отсутствия интернета на зараженном компьютере. могу попробовать заменить библиотеки, на которые он ругнулся оригиналами с установочного диска (правда там система Home, а на диске Professional). Какие будут инструкции?