Интересная ситуация с AppInit (реестр)

@Риган · Регистрация: 25.08.2015

Студворк — интернет-сервис помощи студентам

Всем привет. Это мой 1 вопрос в данном форуме. Пишу не со своего компа. Проблема такая: инет есть, браузеры не грузят, skype работает. Win 7, 64-бит. Рыскал по форумам, и натыкался на аналогичные ответы, один из которых указывал на удаление в реестре значения параметра Appinit.
Удалил значение параметра AppInit в реестре, не запомнив пути к файлу. Перезагрузил, ничего…
Перепробовал остальные методы, тоже бесполезно…
Сижу в полном отчаянии, прошу помощи. Слышал, что файл, который прописан в значении AppInit, находится в папке syswow64, занимает размер в 42-56 Кб, и состоит из 7 латинских символов. Просмотрел все dll файлы подходящие данным критериям поиска, перепроверив их названия в поиске google (благо skype работает) и ничего подозрительного google не выдал (не удалять ж их всех).
Теперь совсем не знаю, что делать… Предполагаю, надо каким-либо сказочным способом восстановить значение AppInit (Восстановление системы до самой ранней точки, значение не восстановило).
Прошу о помощи, и заранее благодарен за ваши ответы.

@Sandor · 26.08.2015, 10:14

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Риган. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Kinoroom Browser
SmartAdverts for Google Chrome™

Программа

ГЧАґЦъКЦ [2015/08/24 17:08:23]-->C:\Program Files (x86)\MiLai\uninst.exe

Вам знакома? Если не ставили самостоятельно, тоже удалите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Риган и Эмиль\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
 QuarantineFile('C:\Users\Риган и Эмиль\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 DeleteFile('C:\Users\Риган и Эмиль\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '32');
 DeleteFile('C:\Users\Риган и Эмиль\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.
К сети подключаетесь через роутер? Если да, один компьютер? Что в роутере прописано в качестве сервера DNS?

@Риган · 26.08.2015, 13:52 **[ТС]**

Ещё раз привет.
Kinoroom Browser - удалил.
SmartAdverts for Google Chrome™ - удалить не получается.
C:\Program Files (x86)\MiLai\uninst.exe - unists.exe , такого файла нет, но ГЧАґЦъКЦ [2015/08/24 17:08:23] есть, удалил ручным способом.
1. Скрипт выполнил.
2. quarantine.zip во вложении.
3. ClearLNK-<Дата>.log во вложении.
4. лог сканирования AdwCleaner во вложении.
5. К сети на компьютере подключаюсь через кабель от роутера, при этом остальные устройства от wi-fi работают нормально. В свойствах адаптера посмотрел, везде стоит автоматически, конкретных цифр нет.
Так как интернета нет, AVZ не смог сделать обновление баз(AVZ скачал с оффсайта и установил на комп через скайп).
Буду с нетерпением ждать последующих шагов. Спасибо

@Sandor · 26.08.2015, 15:05

Сообщение от Риган

2. quarantine.zip во вложении.

Нужно по одной из указанных форм отправить.

Сверьте Ваши настройки протокола TCP/IP сетевого адаптера с теми устройствами, которые

Сообщение от Риган

от wi-fi работают нормально

Вероятно у Вас прописан адрес, вместо "Получить автоматически".

@Риган · 26.08.2015, 16:05 **[ТС]**

Перепроверил, в настройках протокола TCP/IP везде прописано автоматически.
Файл отправил по одной из установленных форм.

@Sandor · 26.08.2015, 16:06

Посмотрим еще так:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Риган · 26.08.2015, 16:51 **[ТС]**

Пожалуйста:

@Sandor · 26.08.2015, 17:05

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Code
start
CreateRestorePoint:
HKLM-x32\...\Run: [mbot_ru_13] => [X]
AppInit_DLLs: 0 => 0 File not found
CHR HKU\S-1-5-21-966604926-2895393351-2234913366-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67b1c0a395d4ca022f26d68a5bcd572c&text={searchTerms}
SearchScopes: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=67b1c0a395d4ca022f26d68a5bcd572c&text={searchTerms}
SearchScopes: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> {EA40CE68-C7B9-445B-B6E8-22895F1089C4} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {40aef60b-a6f8-4389-9003-a683dd75b850} ->  No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKU\S-1-5-21-966604926-2895393351-2234913366-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF NewTab: yafd:tabs
OPR StartupUrls: "hxxp://unzanat.ru/?utm_source=startpage03&utm_content=e6cb943c5d8d85acd2c2536b43526350"
OPR Extension: (Р*С™РЎС“Р*С—Р*С•Р*С‘Р*Р…РЎвЂљ РІР‚вЂњ Р*В°Р*С”РЎвЂ*Р*С‘Р*С‘, РЎРѓР*С”Р*С‘Р*Т‘Р*С”Р*С‘, Р*В±Р*С•Р*Р…РЎС“РЎРѓРЎвЂ№, Р*С—РЎР‚Р*С•Р*С˜Р*С•Р*С”Р*С•Р*Т‘РЎвЂ№) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\aipncignalliccenklkbpdgolkdkbdid [2014-12-18]
OPR Extension: (Р*В*РЎвЂ™Р*РЋРЎвЂњР*В*РўвЂ˜Р*В*РЎвЂ˜Р*В*РЎвЂў Р*В*РЎвЂ˜ Р*В*Р*вЂ*Р*В*РЎвЂ˜Р*В*РўвЂ˜Р*В*Р’ВµР*В*РЎвЂў Р*РЋР*С“Р*В*РЎвЂќР*В*Р’В°Р*РЋРІР‚РЋР*В*РЎвЂ˜Р*В*Р*вЂ*Р*В*Р’В°Р*В*Р*вЂ¦Р*В*РЎвЂ˜Р*В*Р’Вµ) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\bkailahlmeablpbajegfdlcnabbloadi [2014-06-10]
OPR Extension: (Smart Browser) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-07]
OPR Extension: (No Name) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2014-09-03]
OPR Extension: (CinemaLoad) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-06-05]
OPR Extension: (Plus-HD-9.9) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\ijidmdbcbjhadlijeaoaelppicmkldpn [2014-06-10]
OPR Extension: (Р*В¦Р*ВµР*Р…Р*С•Р*С”Р*С•РЎРѓ РІР‚вЂњ Р*С”Р*С•РЎРѓР*С‘РЎвЂљ РЎвЂ*Р*ВµР*Р…РЎвЂ№) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\kecobnmhcdkmdjifldaeiiaajaggahdp [2014-12-17]
OPR Extension: (No Name) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-03-07]
OPR Extension: (Neiron Search Tools) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2014-06-12]
OPR Extension: (PhoenixGuard - Р*В±Р*ВµРЎРѓР*С—Р*В»Р*В°РЎвЂљР*Р…РЎвЂ№Р*в„– Р*В°Р*Р…РЎвЂљР*С‘Р*Р†Р*С‘РЎР‚РЎС“РЎРѓР*Р…РЎвЂ№Р*в„– РЎвЂљРЎС“Р*В»Р*В±Р*В°РЎР‚) - C:\Users\Риган и Эмиль\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-23]
2015-08-18 18:30 - 2015-05-27 14:59 - 00000000 ____D C:\Users\Все пользователи\MiLai
2014-12-09 18:05 - 2015-05-23 13:17 - 0000119 ____H () C:\Program Files (x86)\opera.bat
2014-12-09 18:05 - 2014-11-20 21:51 - 50335352 ____H (Opera Software) C:\Program Files (x86)\оpеrа.bаt.exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(1).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(2).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(3).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(4).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(5).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114(6).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMDTLSDKSetup20141114.exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(1).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(2).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(3).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(4).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(5).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(6).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418.exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa(1).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa(2).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa(3).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa(4).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa(5).exe
C:\Users\袪懈谐邪薪 懈 协屑懈谢褜\AppData\Local\Temp\TempQQPhoneManager-5.2.1_710201.4634.pa.exe
AlternateDataStreams: C:\Users\Риган и Эмиль\Local Settings:wa
AlternateDataStreams: C:\Users\Риган и Эмиль\AppData\Local:wa
AlternateDataStreams: C:\Users\Риган и Эмиль\AppData\Local\Application Data:wa
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Антивирус оставьте один, второй удалите.

@Риган · 26.08.2015, 17:34 **[ТС]**

Компьютер почему-то не перезагрузился...

@Sandor · 27.08.2015, 07:51

Сообщение от Sandor

Создайте текстовый файл fixlist.txt

Какой программой создавали? Отсутствуют двоеточия после команд, поэтому скрипт не выполнился. Повторите через "Блокнот".

@Риган · 27.08.2015, 18:52 **[ТС]**

Пользовался AkelPad. С блокнотом перезагрузился.

@Sandor · 28.08.2015, 09:31

Что с проблемой?

@Риган · 28.08.2015, 16:03 **[ТС]**

К сожалению, она не исчезла.
В диагностике неполадок пишет:
Возможно, DNS-сервер работает с ошибками. Дополнительные сведения о DNS можно найти в центре справки и поддержки Windows

@Sandor · 30.08.2015, 19:49

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Риган 0 / 0 / 0 Регистрация: 25.08.2015 Сообщений: 7
	26.08.2015, 16:05 [ТС]
	Перепроверил, в настройках протокола TCP/IP везде прописано автоматически. Файл отправил по одной из установленных форм. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,816
	26.08.2015, 16:06
	Посмотрим еще так: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,816
	28.08.2015, 09:31
	Что с проблемой? 0

@Риган 0 / 0 / 0 Регистрация: 25.08.2015 Сообщений: 7
	28.08.2015, 16:03 [ТС]
	К сожалению, она не исчезла. В диагностике неполадок пишет: Возможно, DNS-сервер работает с ошибками. Дополнительные сведения о DNS можно найти в центре справки и поддержки Windows 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,816
	30.08.2015, 19:49
	Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0