Показано с 1 по 18 из 18.

Пустой рабочий стол, консольное окно с userinit.exe (заявка № 112533)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34

    Пустой рабочий стол, консольное окно с userinit.exe

    Симптоматика следующая. И в обычном, и в безопасном режиме при входе под любой учетной записью отображает пустой рабочий стол и черное консольное окно userinit.exe. Судя по всему, не запускается explorer.exe, что подтверждается неудачной попыткой его запуска через диспетчер задач (черное моментально исчезающее окно). Редактор реестра не заблокирован, Far также нормально запускается через диспетчер задач. Проверял раздел Winlogon - никаких признаков изменения в Shell и Userinit нет. Файлы explorer.exe, userinit.exe и taskmngr.exe как в системных папках, так и в dllcache соответствуют установочным. На всякий случай проверил их на virustotal.com. CureIt после полной проверки нашел зараженный файл (C:\WINDOWS\system32\ihmlbmxa.dll инфицирован Trojan.Click1.18983 - неизлечим - перемещен), но ситуацию это не изменило. В MMC "Управление компьютером" нет оснасток "Службы", "Локальные пользователи", "Просмотр событий". При запуске services.mmc ругается с ошибкой невозможности загрузить эту оснастку. SFC тоже не запускается, ссылаясь на незапущенную службу RPC. При попытке запуска через диспетчер задач выскакивают окна с сообщением, что "Приложение или библиотека ... не является образом программы для Windows NT."<br>
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Tathagata, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
     DeleteService('omqjdrfn');
     DeleteService('ndmbwfkk');
     QuarantineFile('C:\WINDOWS\system32\03.tmp','');
     QuarantineFile('C:\WINDOWS\system32\06.tmp','');
     DeleteService('hizrf');
     DeleteService('docnuux');
     DeleteFile('C:\WINDOWS\system32\04.tmp');
     DeleteFile('C:\WINDOWS\system32\06.tmp');
     DeleteFile('C:\WINDOWS\system32\05.tmp');
     DeleteFile('C:\WINDOWS\system32\03.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    такой http://virusinfo.info/showthread.php?t=40118 лог сделайте

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Скрипт выполнил. После автоматической перезагрузки ничего не изменилось. Лог Gmer прилагаю.
    Вложения Вложения
    • Тип файла: log gmer.log (37.9 Кб, 2 просмотров)

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    сохраните содержимое в блокноте как 1.bat в папке со gmer ...запустите, повторите лог ...
    Код:
    uupqtpj9.exe -del service brmec 
    uupqtpj9.exe -del file "C:\WINDOWS\system32\ihmlbmxa.dll"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\brmec"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\brmec"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\brmec"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\brmec"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\brmec"
    uupqtpj9.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\brmec"
    uupqtpj9.exe -reboot

  7. #6
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Скрипт прогнал. Ситуация после перезагрузки не изменилась (кроме того, что консольное окошко с userinit.exe перестало открываться и висеть). Выкладываю повторный лог Gmer. Сразу оговорюсь, что, поскольку вчера полное сканирование заняло несколько часов, то сейчас остановил его на этапе сканирования всех файлов диска, после чего сохранил лог, и снова запустил (оно сейчас в процессе) полное на случай, если Вашего упрека, что не точно следую инструкциям. Но тогда это займет несколько часов дополнительного времени.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    повторите логи авз

  9. #8
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    повторите логи авз
    Повторные логи прилагаю. И "до кучи" лог HJT.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    проверте HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit значение дожно быть C:\WINDOWS\system32\userinit.exe, с запятой ...

  11. #10
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Поверил. Именно такое значение и стоит, с запятой. На всякий случай перебил руками, перезагрузил - снова черное консольное окно userinit.exe, никаких улучшений.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    такой лог сделайте http://virusinfo.info/showthread.php?t=53070

  13. #12
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Прогнал Malwarebytes Antimalware. Лог прилагаю.
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Еще есть надежда вылечить без переустановки системы, а то уже руки опускаются.

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,686
    Вес репутации
    3028
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте лог ComboFix
    Зараженный компьютер не подключен к интернету, поэтому ComboFix не смог доустановить консоль восстановления и пофиксить файлы. Система на ней стоит Home, под рукой есть Professional.
    Вложения Вложения

  17. #16
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    Лог ComboFix прилагаю.
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    14.01.2009
    Сообщений
    15
    Вес репутации
    34
    ComboFix не смог установить консоль восстановления по причине отсутствия интернета на зараженном компьютере. могу попробовать заменить библиотеки, на которые он ругнулся оригиналами с установочного диска (правда там система Home, а на диске Professional). Какие будут инструкции?

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,686
    Вес репутации
    3028
    Заменяйте. Авось повезет и они подойдут
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Tathagata, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Пустой рабочий стол
      От Garik73 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 31.01.2012, 12:29
    2. Пустой рабочий стол
      От hertz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.08.2010, 06:16
    3. Пустой рабочий стол
      От kwu2010 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 21.08.2010, 11:46
    4. Пустой рабочий стол
      От Christian в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.05.2009, 09:14
    5. Пустой рабочий стол
      От ghostil в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 22.02.2009, 05:59

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01415 seconds with 17 queries