Windows XP: Восстановление после подмены вирусом процессов userinit

Проблема: несмотря на наличие корпоративного ESET с актуальными базами в процессе браузинга произошло инфицирование системы.

Симптомы: после перезагрузки появляется приглашение авторизации, после ввода аккаунта - окно сохранения параметров, завершение сеанса и снова здорова – приглашение ввести имя и пароль пользователя.

Решение.

Для лечения необходим LiveCD укомплектованный набором инструментария ERD Commander или аналогичым. В данном случае использовался Alkid LiveCD.

1. Загружаемся с Alkid live CD. Выбираем в составе набора инструментов ERD Commander утилиту выбора директории windows. Указываем соответственно реальное расположение нашей системы.

Затем, опять таки, из инструментария  ERD выбираем редактор реестра.

2. Правим следующие ключи реестра если они отличаются от приведенных ниже:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"

Запятая в конце - не опечатка, должно быть именно так.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

После повреждения userinit вирусом данный ключ имел значение dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UIHost = "logonui.exe"
Shell = "Explorer.exe"
VmApplet = "rundll32 shell32,Control_RunDLL "sysdm.cpl""
Данные ключи у меня не подверглись изменению

3. Удаляем файл C:\Windows\system32\userinit.exe (будьте внимательны, некоторые вирусы заменяют его файлом userini.exe - без литеры t).

Копируем файл userinit.exe с установочного диска Windows такой же верси, что и на поврежденной системе (находится на установочном диске с Windows по пути X:\i386\userinit.ex_).

Так же обратить внимание и при необходимости заменить файлы logonui.exe и explorer.exe.

4. В обязательном порядке вычистить каталоги:

c:\Documents and Settings\User\Local Settings\Temp

c:\Documents and Settings\User\Local Settings\Temporary Internet Files\

c:\WINDOWS\Temp\

После указанных мероприятий система как минимум должна загрузиться.

Примечание: данные действия так же эффективны в борьбе с немалым количеством "блокираторов" Windows, обвиняющих пользователя в "неправомерном доступе" и склоняющих его к перечислению средств абоненту Билайн, МТС и т.д. и имеющих следующий вид: