не могу авторизоваться в Windows xp

[krexxxer]

доброго времени суток!

nod32 накануне обнаружил троянскую программу (какую-то Kryptik) в файле windows/system32/userinit.exe . Результат лечения - "лечение невозможно, файл изолирован", "для окончательного удаления следует перезагрузиться".
спустя некоторое время перекособочило Adobe Reader и Firefox. После закрытия программ запустить их уже не смог. Перезагрузился и теперь не могу авторизоваться ни в нормальном режиме, ни в безопасном ни под одной учетной записью, в том числе и под администратором. при попытке войти сразу пишется "завершение сеанса", "сохранение параметров".
собственно, я в растеряности.. попасть в систему не могу, переустановкой оси и всех программ заниматься нет ни времени, ни желания..
что делать?
есть livecd (и виндовый, и линуховый), но, насколько я понимаю, при загрузке с livecd логи avz и HJ не имеют смысла... может быть можно как-то заменить этот файл userinit.exe нормальным? он вообще нужен этот файл для нормальной работы системы?

Заранее спасибо за помощь!

[Nikkollo]

Да, нужен.
Найдите заведомо исправный файл windows/system32/userinit.exe на другой системе, такой же как ваша и скопируйте его себе (например на флешку).
Загрузитесь с LiveCD, переименуйте windows/system32/userinit.exe в больной системе в userinit.bak и скопируйте в эту же папку исправный userinit.exe.
Попробуйте загрузить систему.

Если не получится, воспользуйтесь этим:
Как работать с системным реестром, загрузившись с LiveCD
http://virusinfo.info/showthread.php?t=72176
Посмотрите в реестре:
ветка

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

параметр

Код:

userinit

параметр

Код:

shell

Содержимое этих параметров напишите в своем сообщении.

[krexxxer]

Получилось. Просто скопировал файл с другой системы, т.к. в больной файла не было вовсе..
прогнал KaspVirRemovTool, тот нашел трояна и червя, сделал логи avz и hjt (прикладываю).
посмотрите, пожалуйста.

Заранее спасибо!

[Nikkollo]

Загрузите virusinfo_cure.zip из папки AVZ\LOG по красной ссылке вверху темы "Прислать запрошенный карантин".

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('%windir%\system32\Drivers\sfc.SYS','');
 QuarantineFile('%windir%\system32\sfcfiles.dll','');
    if CheckFile('%windir%\system32\dllcache\sfcfiles.dll')=3 then
      begin
      RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
       CopyFile('%windir%\system32\dllcache\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
       AddToLog('Замена sfcfiles.dll успешно произведена из кеша');
      end
     else
      begin
       AddToLog('файл sfcfiles.dll в кеше не прошел по базе безопасных или отсутствует');
        if CheckFile('%windir%\ServicePackFiles\i386\sfcfiles.dll')=3 then
            begin
            RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
             CopyFile('%windir%\ServicePackFiles\i386\sfcfiles.dll','%windir%\system32\sfcfiles.dll');
             AddToLog('Замена sfcfiles.dll успешно произведена из i386');
            end
           else
            begin
             AddToLog('файл sfcfiles.dll в i386 не прошел по базе безопасных или отсутствует');
            end;
  end;
  //sfcfiles.log сохранится в папке, из которой был запущен AVZ
  SaveLog('sfcfiles.log');
  DeleteFile('%windir%\system32\drivers\sfc.sys');
  DeleteFile('%windir%\system32\sfcfiles.bak');
 QuarantineFile('C:\WINDOWS\system\iyvu9.dll','');
 QuarantineFile('C:\WINDOWS\system\ir41.dll','');
 QuarantineFile('C:\WINDOWS\system\ir32.dll','');
 QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
 DeleteFile('C:\WINDOWS\system\dllcache.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Файл sfcfiles.log в папке, из которой был запущен AVZ приложите в теме.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

[krexxxer]

Карантины прислал, логи приложил.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
ExecuteSysClean;
end.

Больше ничего плохого не видно.
Что с проблемой?

[krexxxer]

проблема исчезла. по крайней мере пропали все проблемы, которые были на виду (не работал Acrobat и Firefox).
Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\sfcfiles.dll - Trojan-Spy.Win32.Agent.bpgb ( DrWEB: Trojan.WinSpy.990, BitDefender: Gen:Variant.Kazy.10709, AVAST4: Win32:Parchood-E [Trj] )
  2. c:\\windows\\system32\\tyundcg.dll - Trojan-Ransom.Win32.Cidox.gen ( DrWEB: Trojan.Mayachok.based, BitDefender: Trojan.Generic.6277910, NOD32: Win32/Agent.SFM trojan, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !