Решена Результат неправильного лечения vmmreg32.dll. Не могу зайти в профиль

Тема в разделе "Лечение компьютерных вирусов", создана пользователем scare82, 18 май 2009.

Статус темы:
Закрыта.
  1. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте. Ноутбук был поражен вирусом. Появлялось сообщение "Приложение или библиотека C:\WINDOWS\System32\vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В борьбе с вирусами я неопытен, раньше всегда спасался утилитой launch.exe от Dr.Web. И в этот раз скачал свежую версию, перезагрузился в безопасном режиме, отключил все подозрительные процессы в автозагрузке и сделал полную проверку системы. Было найдено немеряное количество вирусов, после проверки было предложено перезагрузиться. И теперь после перезагрузки не могу войти в систему ни под каким профилем!!!!! Ни под уч. записью "Администратор", ни под какой либо другой. Ни в одном из доступных режимов (безопасный, обычная загрузка, загрузка последней удачной конфигурации). Сначала появляется окно "идет загрузка личных параметров", затем сразу идет "сохранение параметров", как будто происходит выход из уч.записи и снова появляется окно входа в систему, и так по кругу! Слишком поздно прочитал как по уму лечится эта зараза, как теперь быть ? Как войти в систему чтоб сделать все описанные на сайте процедуры по излечению от этого вируса? Пожалуйста подскажите!
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Необходимо проверить наличие файла userinit.exе на диске.

    1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
    2. Запустите regedit и выделите раздел HKEY_USERS.
    3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
    4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
    5. Введите имя для раздела, который вы загрузили, например, MyHive.
    В MyHive ищем
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Ключ userinit должен выглядеть так:

    Код (Text):
    C:\WINDOWS\system32\userinit.exe,
    (запятая в конце строки обязательна)
    Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст)

    Или установить систему в режиме восстановления и потом долечивать.
     
    2 пользователям это понравилось.
  3. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Выполнил все приведенные операции, все нормально, в систему захожу под любым логином, подскажите теперь можно ли воспользоваться найденным способом лечения описанным по этой ссылке http://virusinfo.info/showthread.php?t=33444 ?
    По результатм поиска в IceSword был найден только файл C:\WINDOWS\system32\vmmreg32.dll и был удален.
    Остальные файлы найдены не были, но вспомниаю названия, остальные были найдены при проверке утилитой launch.exe и удалены ею.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    С того же ресурса

    Как будто кто-то за что-то несет ответственность :)

    Но смыл, передается.. никто не знает, что еще "живет" на вашей машине.

    Добавлено через 2 минуты 7 секунд
    Рекомендую подготовить логи. Может что-то еще живет в Вашей машине.
     
  5. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Спасибо за помощь, подготовлю все необходимые логи, только почитаю как это делается )))

    На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
     
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Не в этом разделе :)
     
  7. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот что получилось по результатам проверки. Прикрепляю логи.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('c:\windows\system32\termsrv.dll','');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

    Пофиксить в HijackThis следующие строчки
    Код (Text):
        O20 - AppInit_DLLs: vmmreg32.dll
    Включите AVZPM и повторите логи.

    Добавлено через 4 минуты 29 секунд
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\koqatnaa.exe
    C:\WINDOWS\kpmshiac.exe
    :Reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  9. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Выполнил все операции.
    Архив 'quarantine.zip' отправил Вам по почте, а также прикрепляю новые логи, после выполнения скриптов в AVZ.
    "Включите AVZPM и повторите логи." - надеюсь правильно понял, Ваше сообщение что нужно повторить логи - virusinfo_syscure.zip и virusinfo_syscheck.zip.


    В OTMoveIt3 после отработки кода, действительно потребовалась перезагрузка, после в папке с логами был один единственный файл 05202009_142702.log - его содержимое приведу ниже.......


    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    File/Folder C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp not found.
    File/Folder C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp not found.
    File/Folder C:\WINDOWS\koqatnaa.exe not found.
    File/Folder C:\WINDOWS\kpmshiac.exe not found.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp\\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp\\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac\\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa\\ deleted successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Internet Explorer cache folder emptied.
    File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    User's Temporary Internet Files folder emptied.
    Local Service Temp folder emptied.
    Local Service Temporary Internet Files folder emptied.
    Network Service Temp folder emptied.
    Network Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_142702

    Files moved on Reboot...
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Еще бы лог RSIT. По логу AVZ уже ничего не видно вредоносного.

    Добавлено через 3 минуты 37 секунд
    В карантин ничего вредоносного не попало.
     
  11. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот пожалуйста логи RSIT:

    Я обращал внимание что после отработки AVZ было написано что не были найдены файлы video.bkp, vmmreg32.bkp и прочие. Но припоминаю что при проверке утилитой launch.exe такие файлы были найдены и предлагалось их удалить, что и было мной сделано, так что наверно поэтому их и не найдено теперь.
     
  12. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe

    :Services

    :Files
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    :Reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
    Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

    Обновите систему до SP3+IE7 или 8 (на выбор) + все хотфиксы.
    !!! Возможно потребуется повторная активация windows
     
  13. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот содержимое файла 05212009_092020.log

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    File/Folder C:\WINDOWS\SYSTEM32\winhelp32.exe not found.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service\\ deleted successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Internet Explorer cache folder emptied.
    File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    User's Temporary Internet Files folder emptied.
    Local Service Temp folder emptied.
    Local Service Temporary Internet Files folder emptied.
    Network Service Temp folder emptied.
    Network Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05212009_092020

    Files moved on Reboot...


    Систему постараюсь обновить, в данный момент нет сервис пака под рукой.
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    Как проблемы?
     
  15. scare82
    Оффлайн

    scare82 Активный пользователь

    Сообщения:
    8
    Симпатии:
    0
    На мой неопытный взгляд никаких симптомов вируса больше нет.
    Так что видимо все вылечено?

    Огромное Вам спасибо, третий день не перестаю удивляться насколько здорово Вы помогаете, абсолютно бесплатно:)
     
Статус темы:
Закрыта.

Поделиться этой страницей