Решена Результат неправильного лечения vmmreg32.dll. Не могу зайти в профиль

  • Автор темы Автор темы scare82
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

scare82

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте. Ноутбук был поражен вирусом. Появлялось сообщение "Приложение или библиотека C:\WINDOWS\System32\vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В борьбе с вирусами я неопытен, раньше всегда спасался утилитой launch.exe от Dr.Web. И в этот раз скачал свежую версию, перезагрузился в безопасном режиме, отключил все подозрительные процессы в автозагрузке и сделал полную проверку системы. Было найдено немеряное количество вирусов, после проверки было предложено перезагрузиться. И теперь после перезагрузки не могу войти в систему ни под каким профилем!!!!! Ни под уч. записью "Администратор", ни под какой либо другой. Ни в одном из доступных режимов (безопасный, обычная загрузка, загрузка последней удачной конфигурации). Сначала появляется окно "идет загрузка личных параметров", затем сразу идет "сохранение параметров", как будто происходит выход из уч.записи и снова появляется окно входа в систему, и так по кругу! Слишком поздно прочитал как по уму лечится эта зараза, как теперь быть ? Как войти в систему чтоб сделать все описанные на сайте процедуры по излечению от этого вируса? Пожалуйста подскажите!
 
Необходимо проверить наличие файла userinit.exе на диске.

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ userinit должен выглядеть так:

Код:
C:\WINDOWS\system32\userinit.exe,
(запятая в конце строки обязательна)
Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст)

Или установить систему в режиме восстановления и потом долечивать.
 
Выполнил все приведенные операции, все нормально, в систему захожу под любым логином, подскажите теперь можно ли воспользоваться найденным способом лечения описанным по этой ссылке http://virusinfo.info/showthread.php?t=33444 ?
По результатм поиска в IceSword был найден только файл C:\WINDOWS\system32\vmmreg32.dll и был удален.
Остальные файлы найдены не были, но вспомниаю названия, остальные были найдены при проверке утилитой launch.exe и удалены ею.
 
С того же ресурса

Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Как будто кто-то за что-то несет ответственность :)

Но смыл, передается.. никто не знает, что еще "живет" на вашей машине.

Добавлено через 2 минуты 7 секунд
Рекомендую подготовить логи. Может что-то еще живет в Вашей машине.
 
Спасибо за помощь, подготовлю все необходимые логи, только почитаю как это делается )))

На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
 
На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
Не в этом разделе :)
 
Вот что получилось по результатам проверки. Прикрепляю логи.
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('c:\windows\system32\termsrv.dll','');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код:
 	O20 - AppInit_DLLs: vmmreg32.dll

Включите AVZPM и повторите логи.

Добавлено через 4 минуты 29 секунд
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\koqatnaa.exe 
C:\WINDOWS\kpmshiac.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Выполнил все операции.
Архив 'quarantine.zip' отправил Вам по почте, а также прикрепляю новые логи, после выполнения скриптов в AVZ.
"Включите AVZPM и повторите логи." - надеюсь правильно понял, Ваше сообщение что нужно повторить логи - virusinfo_syscure.zip и virusinfo_syscheck.zip.


В OTMoveIt3 после отработки кода, действительно потребовалась перезагрузка, после в папке с логами был один единственный файл 05202009_142702.log - его содержимое приведу ниже.......


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp not found.
File/Folder C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp not found.
File/Folder C:\WINDOWS\koqatnaa.exe not found.
File/Folder C:\WINDOWS\kpmshiac.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_142702

Files moved on Reboot...
 
Еще бы лог RSIT. По логу AVZ уже ничего не видно вредоносного.

Добавлено через 3 минуты 37 секунд
В карантин ничего вредоносного не попало.
 
Вот пожалуйста логи RSIT:

Я обращал внимание что после отработки AVZ было написано что не были найдены файлы video.bkp, vmmreg32.bkp и прочие. Но припоминаю что при проверке утилитой launch.exe такие файлы были найдены и предлагалось их удалить, что и было мной сделано, так что наверно поэтому их и не найдено теперь.
 
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\SYSTEM32\winhelp32.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Обновите систему до SP3+IE7 или 8 (на выбор) + все хотфиксы.
!!! Возможно потребуется повторная активация windows
 
Вот содержимое файла 05212009_092020.log

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\winhelp32.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05212009_092020

Files moved on Reboot...


Систему постараюсь обновить, в данный момент нет сервис пака под рукой.
 
Как проблемы?
 
На мой неопытный взгляд никаких симптомов вируса больше нет.
Так что видимо все вылечено?

Огромное Вам спасибо, третий день не перестаю удивляться насколько здорово Вы помогаете, абсолютно бесплатно:)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу