Удаление параметров в реестре и их правильные значения

Здравствуйте! Компьютер стал плохо себя вести, и я отыскал в реестре в параметре userinit вредителя, значение параметра выглядело так- C:\WINDOWS\system32\userinit.exe,C:\WIND OWS\AppPatch\eehmvut.exe. Естественно, этот файл в указанной директории я удалил и изменил значения параметра userinit на правильный. Но когда я перезапустил компьютер, он ругнулся, сказав что не может найти C:\WINDOWS\apppatch\eehmvut.exe. У меня есть предположение, что от этого вредителя что-то осталось в реестре. Вбив в поиске по реестру eehmvut, получил вот что:

Можно ли удалять все эти параметры со спокойной совестью?

И еще такой вопрос. Параметр system в директории HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon имеет значение C:\WINDOWS\apppatch\eehmvut.exe. Конечно,я подумал что так не должно быть, и отыскал где-то,что у этого параметра должно быть значение lsass.exe. Однако когда я исправил значение на это(естественно, указав директорию расположения файла lsass.exe) и перезагрузил компьютер, как только загрузился рабочий стол, компьютер сразу перезагрузился, сказав что не может найти этот lsass.exe. Тогда я вернул значение этого параметра обратно. Каким же должно быть значение этого параметра? Или можно оставить его таким?

0

FelippeXXX, экспорт hku и hklm-и сюда покажите.
+скан как сдесь(лог авз не надо,только лог утилиты скана)+гетсистем отчет

0

Простите,я не совсем понимаю, как их экспортировать, никогда этим не занимался(
лог утилиты - вы имеете ввиду hijackthis? сейчас сделаю.
хотел бы еще добавить,что сейчас никаких проблем не осталось, компьютер ведет себя хорошо, только при включении компьютера он указывает на то что не видит этот пресловутый eehmvut.exe. следовательно, осталось только убрать хвосты от вредителя в реестре?

0

вот лог и отчет
http://www.getsysteminfo.com/r... f849381cac

Вложения

hijackthis.log (11.0 Кб, 19 просмотров)

0

Сообщение от FelippeXXX лог утилиты - вы имеете ввиду hijackthis? сейчас сделаю.

нет я имел ввиду доктора веба или авп тол
если все чисто при сканировании то останется только реестр.
так же подготовьте отчет утилиты GetSystemInfo.
инструкция в пункте №2 или по ссылке http://support.kaspersky.ru/faq/?qid=208641573
экспорт пока не делайте-как глянем отчет сориентируемся .
вернуть значения реестра на дефолт не проблема.
я тока сегодня спать уже.
возможно кто то вам захочет помочь иным способом.

Добавлено через 43 секунды
FelippeXXX, гетсистем принято.
не забудьте про курейт.

0

да, при сканировании никаких угроз не находится.
спасибо, буду ждать
а cureIt тоже ничего уже не находит

0

FelippeXXX, сделайте экспорт current version
правой кнопкой мыши-экспортировать-сохранить
и так из разделов hklm и hku.
полученные файлы в архив и выложите.
еще в журнале антивируса скопируйте информацию по последним событиям найденных угроз и сообщите что там.

0

Сообщение от FelippeXXX Параметр system в директории HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon

че-то нет у меня такого параметра.

Попробуйте оставить его пустым.
---

0

ScrollLock, в семерке иной состав и функционал определенных параметров разделов.
это значение действительно по у олчанию пустое,однако хвосты останутся.
скорее всего будет появлятьс сообщение с ощибкой.

0

да, в ХР System есть, пустой...

---
Я бы поиском в реестре поискал eehmvut.exe и в самой ОС тоже.

0

Сообщение от ScrollLock Я бы поиском в реестре

AutoRuns, не?

0

Сообщение от ScrollLock Я бы поиском в реестре поискал eehmvut.exe и в самой ОС тоже.

тока вот удалять ничего не надо.
надо глянуть сначала что и с какой целью переименовывалось/добавлялось/удалялось

Добавлено через 51 секунду

Сообщение от Charles Kludge AutoRuns, не?

нет,конечно!
каким боком?
что надо все запрошено.
если вы,конечно,иначе не считаете...

0

Koza Nozdri, AutoRuns показывает всё, что относится к загрузке, в одном флаконе. Поиск там тоже есть. Дочистить регистри врукопашную можно уже потом.
Так же есть ф-ции сохранения состояния и сравнения с сохранённым - очень удобно, жаль что sysinternals так малоюзабельны.

0

Сообщение от Charles Kludge AutoRuns показывает всё, что относится к загрузке, в одном флаконе

а вы не думали что параметры хранят значения не только инфу run?

Добавлено через 14 минут
параметр System — определяет программы, которые будут запускаться с абсолютными правами админа процессом WINLOGON.EXE при инициализации. Программы пишутся через запятую, то есть параметр может содержать вызов сразу нескольких программ. По умолчанию он ничему не равен.
соответственно autoruns что вам должен показать?
ничего.
если FelippeXXX устроит просто устранение ошибки при запуске томожно очистить значение параметра и все.
если есть желание разузнать что это было и что изменялось еще то надо смотреть.

0

Koza Nozdri, спасибо, значения параметра поставлю пустым. но хотелось бы избавиться от этой ерунды до конца, пусть она и не подает никаких признаков жизни
вот current version из hklm и hkcu. а вот журнал антивира за вчерашний день не могу найти

Вложения

реестр.rar (393.0 Кб, 12 просмотров)

0

FelippeXXX, я щас занят ,на выходных сделаю.

0

да это троянец

0

Katharsis, знаю.
у меня обет не лечить.
а у вас не примут.
дам ему команду cmd на reg.exe и del.
это все,на что пойду.
если ,конечно,еще надо будет...

Добавлено через 4 минуты

0

ничего, юзер, я думаю сам разберется - его система, он ее лучше знает

2)Скачайте AVZ и вложите логи в свою тему на форуме (как сделать логи) скачайте hijackthis и вложите лог в тему на форуме (инструкция)

отсюда

а дальше - получаете отчеты, открываете и просматриваете: левое - удаляете, измененное - возвращаете к исходному значению.

Справка по работе с AVZ

Редактор скриптов AVZ

0

FelippeXXX, щас подробнее глянул.
у вас по мимо указанного еще подгруженные dll и кой чего по мелочи.
твики на реестр я вам сделаю-но вам бы полечить систему,до того как что то сами начнете применять.
дабы не вернуться на исходную.
так что решайте надо или нет.

0