Здравствуйте. Ноутбук был поражен вирусом. Появлялось сообщение "Приложение или библиотека C:\WINDOWS\System32\vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В борьбе с вирусами я неопытен, раньше всегда спасался утилитой launch.exe от Dr.Web. И в этот раз скачал свежую версию, перезагрузился в безопасном режиме, отключил все подозрительные процессы в автозагрузке и сделал полную проверку системы. Было найдено немеряное количество вирусов, после проверки было предложено перезагрузиться. И теперь после перезагрузки не могу войти в систему ни под каким профилем!!!!! Ни под уч. записью "Администратор", ни под какой либо другой. Ни в одном из доступных режимов (безопасный, обычная загрузка, загрузка последней удачной конфигурации). Сначала появляется окно "идет загрузка личных параметров", затем сразу идет "сохранение параметров", как будто происходит выход из уч.записи и снова появляется окно входа в систему, и так по кругу! Слишком поздно прочитал как по уму лечится эта зараза, как теперь быть ? Как войти в систему чтоб сделать все описанные на сайте процедуры по излечению от этого вируса? Пожалуйста подскажите!
Решена Результат неправильного лечения vmmreg32.dll. Не могу зайти в профиль
- Автор темы scare82
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Необходимо проверить наличие файла userinit.exе на диске.
1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ userinit должен выглядеть так:
(запятая в конце строки обязательна)
Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст)
Или установить систему в режиме восстановления и потом долечивать.
1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ userinit должен выглядеть так:
Код:
C:\WINDOWS\system32\userinit.exe,Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст)
Или установить систему в режиме восстановления и потом долечивать.
Выполнил все приведенные операции, все нормально, в систему захожу под любым логином, подскажите теперь можно ли воспользоваться найденным способом лечения описанным по этой ссылке http://virusinfo.info/showthread.php?t=33444 ?
По результатм поиска в IceSword был найден только файл C:\WINDOWS\system32\vmmreg32.dll и был удален.
Остальные файлы найдены не были, но вспомниаю названия, остальные были найдены при проверке утилитой launch.exe и удалены ею.
По результатм поиска в IceSword был найден только файл C:\WINDOWS\system32\vmmreg32.dll и был удален.
Остальные файлы найдены не были, но вспомниаю названия, остальные были найдены при проверке утилитой launch.exe и удалены ею.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
С того же ресурса
Но смыл, передается.. никто не знает, что еще "живет" на вашей машине.
Добавлено через 2 минуты 7 секунд
Рекомендую подготовить логи. Может что-то еще живет в Вашей машине.
Как будто кто-то за что-то несет ответственность
Но смыл, передается.. никто не знает, что еще "живет" на вашей машине.
Добавлено через 2 минуты 7 секунд
Рекомендую подготовить логи. Может что-то еще живет в Вашей машине.
Спасибо за помощь, подготовлю все необходимые логи, только почитаю как это делается )))
На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Не в этом разделе
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.
Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Пофиксить в HijackThis следующие строчки
Включите AVZPM и повторите логи.
Добавлено через 4 минуты 29 секунд
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('c:\windows\system32\termsrv.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)
Пофиксить в HijackThis следующие строчки
Код:
O20 - AppInit_DLLs: vmmreg32.dllВключите AVZPM и повторите логи.
Добавлено через 4 минуты 29 секунд
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe
:Services
:Files
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\koqatnaa.exe
C:\WINDOWS\kpmshiac.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Выполнил все операции.
Архив 'quarantine.zip' отправил Вам по почте, а также прикрепляю новые логи, после выполнения скриптов в AVZ.
"Включите AVZPM и повторите логи." - надеюсь правильно понял, Ваше сообщение что нужно повторить логи - virusinfo_syscure.zip и virusinfo_syscheck.zip.
В OTMoveIt3 после отработки кода, действительно потребовалась перезагрузка, после в папке с логами был один единственный файл 05202009_142702.log - его содержимое приведу ниже.......
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp not found.
File/Folder C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp not found.
File/Folder C:\WINDOWS\koqatnaa.exe not found.
File/Folder C:\WINDOWS\kpmshiac.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_142702
Files moved on Reboot...
Архив 'quarantine.zip' отправил Вам по почте, а также прикрепляю новые логи, после выполнения скриптов в AVZ.
"Включите AVZPM и повторите логи." - надеюсь правильно понял, Ваше сообщение что нужно повторить логи - virusinfo_syscure.zip и virusinfo_syscheck.zip.
В OTMoveIt3 после отработки кода, действительно потребовалась перезагрузка, после в папке с логами был один единственный файл 05202009_142702.log - его содержимое приведу ниже.......
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp not found.
File/Folder C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp not found.
File/Folder C:\WINDOWS\koqatnaa.exe not found.
File/Folder C:\WINDOWS\kpmshiac.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_142702
Files moved on Reboot...
Вот пожалуйста логи RSIT:
Я обращал внимание что после отработки AVZ было написано что не были найдены файлы video.bkp, vmmreg32.bkp и прочие. Но припоминаю что при проверке утилитой launch.exe такие файлы были найдены и предлагалось их удалить, что и было мной сделано, так что наверно поэтому их и не найдено теперь.
Я обращал внимание что после отработки AVZ было написано что не были найдены файлы video.bkp, vmmreg32.bkp и прочие. Но припоминаю что при проверке утилитой launch.exe такие файлы были найдены и предлагалось их удалить, что и было мной сделано, так что наверно поэтому их и не найдено теперь.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Обновите систему до SP3+IE7 или 8 (на выбор) + все хотфиксы.
!!! Возможно потребуется повторная активация windows
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe
:Services
:Files
C:\WINDOWS\SYSTEM32\winhelp32.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Обновите систему до SP3+IE7 или 8 (на выбор) + все хотфиксы.
!!! Возможно потребуется повторная активация windows
Вот содержимое файла 05212009_092020.log
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\winhelp32.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05212009_092020
Files moved on Reboot...
Систему постараюсь обновить, в данный момент нет сервис пака под рукой.
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\winhelp32.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05212009_092020
Files moved on Reboot...
Систему постараюсь обновить, в данный момент нет сервис пака под рукой.
- Статус
Похожие темы
