Решена REG:SUSPICIOUS.UserinitCorrupted

[egor123]

пытался вылечит с помощь dr.web cureit но там выдает ошибку лечения компьютер тормозит а сайты с антивирусами закрываются помогите решить

 

[akok]

Нужно смотреть логи

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?​

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

• akok
• Ответы: 0
• Форум: Помощь в удалении вредоносного ПО

• 

 

[egor123]

вот логи

 

[Severnyj]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 TerminateProcessByName('C:\Windows\SysWOW64\SystemDiagnosticsHost.exe');
 TerminateProcessByName('c:\windows\media\mppr.exe');
 QuarantineFile('C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe', '');
 QuarantineFile('C:\Windows\INF\usbhub\usbperfsym.exe', '');
 QuarantineFile('C:\Windows\InputMethod\SHARED\RC_ConnectedAccount.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\SystemDiagnosticsHost.exe', '');
 QuarantineFile('c:\windows\media\mppr.exe', '');
 DeleteFile('c:\windows\media\mppr.exe', '32');
 DeleteFile('c:\windows\syswow64\systemdiagnosticshost.exe', '32');
 DeleteFile('C:\Windows\Media\mppr.exe', '64');
 DeleteFile('C:\Windows\InputMethod\SHARED\RC_ConnectedAccount.exe', '64');
 DeleteFile('C:\Windows\INF\usbhub\usbperfsym.exe', '64');
 DeleteFile('C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe', '64');
 DeleteSchedulerTask('Launch Adobe CCXProcess');
 DeleteSchedulerTask('Microsoft\Microsoft Launcher');
 DeleteSchedulerTask('Microsoft\Windows\Windows Update Listner');
 DeleteSchedulerTask('XCCProcess');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!


Пофиксите в HJT (некоторые строки могут отсутствовать):

F2 - HKLM\..\WinLogon: [UserInit] = C:\Windows\System32\userinit.exe,C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[egor123]

вот правильно?

 

[Severnyj]

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[egor123]

вопрос если я сброшу компьютер до зовадских настроек это поможет?

 

[Severnyj]

Зачем? Мы и так уже почти достигли финала

 

[egor123]

сканирует

а из белого списка там все убрать надо?

.

 

[Severnyj]

Никаких настроек, кроме указанных производить не надо. В любом случае: ждем лога. Если покажется. что на сканировании Дополнительных областей произошло зависание - это не так - дождитесь окончания сканирования.

 

[egor123]

вот

забыл поместить в архив вот:

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {98961C3D-CEAF-4933-A7C4-ABD53516574B} - System32\Tasks\Обновление Браузера Яндекс => C:\Users\admin\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --background-update --noerrdialogs (Нет файла)
CHR HKU\S-1-5-21-1720535831-2360648822-1352276810-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\143.0.3650.96\elevation_service.exe" [X]
S2 RvControlSvc; "C:\Program Files (x86)\Radmin VPN\RvControlSvc.exe" /service [X]
S3 SteelSeriesGGUpdateServiceProxy; "C:\Program Files\SteelSeries\GG\SteelSeriesGGUpdateServiceProxy.exe" [X]
S2 WifiAutoInstallSrv; C:\Program Files\Realtek\WifiAutoInstall\WifiAutoInstallSrv.exe [X]
S3 PDFWKRNL; \??\C:\WINDOWS\SystemTemp\USBCPDFW\pdfwkrnl.sys [X]
StartPowershell:
Remove-MpPreference -ExclusionPath "NXLZEYchv.exe"
Remove-MpPreference -ExclusionPath "C:\Windows"
Remove-MpPreference -ExclusionPath "C:\Windows\InputMethod"
Remove-MpPreference -ExclusionPath "C:\Windows\INF"
Remove-MpPreference -ExclusionPath "C:\Recovery\OEM"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.


Восстановите пожалуйста эти файлы из карантина Защитника, упакуйте в архив с паролем, выложите на любой файлообменник, ссылку и пароль, пришлите мне в ЛС:

C:\Users\admin\Desktop\AL\AutoLogger\AV\Quarantine\2025-12-28\avz00003.dta

C:\Users\admin\Desktop\AL\AutoLogger\AV\Quarantine\2025-12-28\avz00005.dta

 

[egor123]

.

а как восстановить эти два файла?

и скоро ли мы решим проблему?

 

[Severnyj]

Архив Fixlog.zip - пустой. Пришлите просто файл.

Восстановить вот так: Карантин Microsoft Defender в Windows — где находится и как восстановить файлы?

 

[egor123]

,

не востонавливается

 

[Severnyj]

Ладно. Что с первоначальной проблемой?

 

[egor123]

исчезла

 

[Severnyj]

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.