Подозрительный процесс в реестре -Userinit
Dr. Web ежедневно обнаруживает и устраняет в реестре перезагрузкой подозрительный процесс в реестре - Userini.
Userinit REG:SUSPICIOUS.UserinitCorrupted Registry\Machine\Software\Wow6432Node\Microsoft\Wi ndows NT\CurrentVersion\Winlogon\Userinit
Чистка компьютера антивирусом ничего не обнаруживает. Но следы в реестре Userinit и их блокировка антивирусником происходят ежедневно.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) maximpn, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Сделано. Прикрепил ниже.Сообщение от Vvvyg
Нестандартный параметр реестра, файлы легитимные.
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Сообщите результат.Код:F2-32 - HKLM\..\WinLogon: [Shell] =
WBR,
Vadim
Vvvyg!
А может в HijackThis дополнительно + ещё стоит/не стоит? пофиксить и F2-32 - HKLM\..\WinLogon: [UserInit] = userinit.exe|C:\WINDOWS\SysWOW64\userinit.exe
А в вашем логе HijackThis я такого не вижу... Пофиксите.
WBR,
Vadim
...ок. О результатах отпишусь.
Потом для контроля сделайте новый лог такой версией Autologger.
WBR,
Vadim
Здравствуйте, maximpn!
Для улучшения работы наших инструментов, пожалуйста:
1. Запустите редактор реестра (нажать Win + R, ввести regedit, нажать ОК)
2. Перейдите в ветку HKEY_LOCAL_MACHINE
3. Нажмите Файл => Загрузить куст => выберите файл "C:\FRST\Hives\SOFTWARE", на запрос имени введите "Backup"
4. Перейдите в ветку:
5. Нажмите Файл => Экспорт. В поле "тип файла" выберите "Файлы кустов реестра (*.*)", введите имя файла "Winlogon.bin" и сохраните на рабочий стол.Код:HKEY_LOCAL_MACHINE\Backup\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon
Файл Winlogon.bin заархивируйте и пришлите в вашем сообщении.
HiJackThis developer team, CMD/VBS expert
Сделал. Логи прицепил.
А экспорт реестра?
Dr. Web перестал ругаться?
WBR,
Vadim
Прицепил.
- - - - -Добавлено - - - - -
Вроде, да. Спасибо за поддержку.
Не совсем то, что просил.
Тогда, можете, пожалуйста, залить на файлообменник весь файл "C:\FRST\Hives\SOFTWARE" и скинуть ссылку мне в ЛС.
HiJackThis developer team, CMD/VBS expert
Dr. Web ругаться продолжает. Все то же самое что и в первом посте. В принципе файл реестра можно поставить в список исключений Dr. Web, ветку реестра, к сожалению, технически нельзя. Но не хотелось бы исключать из проверки антивирусника целый реестр. Поэтому может быть имеются каки иные соображения?
maximpn, ветка реестра нужна не для того чтобы в исключение добавить, а для того чтобы разобраться, что у вас в системе творится (так как показания утилит отличаются), а потом исправить у вас проблему и заодно и утилиты.
Так что просьба пришлите
Сделайте, что просят Dragokas и regist, посмотреть надо, что именно там в реестре, по логам диагностических утилит противоречивые сведения.
WBR,
Vadim
Отправил ссылку Dragokas, regist, Vvvyg, в личку
не знаю как остальным, но мне вы ничего не отправили. Если что личное сообщение отправляется отсюда.
Остальным похоже так же как и вам как то странно отправилось, без сохранения в отправленных отсюда Щас повторю, ещё раз.
- - - - -Добавлено - - - - -
Не сохраняются отправленные личные сообщения. Кроме этого, За 1440 минут(ы) вы можете отправить не более 5 сообщений. Поэтому ссылка на файл "C:\FRST\Hives\SOFTWARE" в файлообменнике
Последний раз редактировалось maximpn; 25.09.2018 в 15:13. Причина: убрал ссылку
Уважаемый(ая) maximpn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
