• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Результат неправильного лечения vmmreg32.dll. Не могу зайти в профиль

Статус
В этой теме нельзя размещать новые ответы.

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#1
Здравствуйте. Ноутбук был поражен вирусом. Появлялось сообщение "Приложение или библиотека C:\WINDOWS\System32\vmmreg32.dll не является образом программы для Windows NT. Проверьте назначение установочного диска". В борьбе с вирусами я неопытен, раньше всегда спасался утилитой launch.exe от Dr.Web. И в этот раз скачал свежую версию, перезагрузился в безопасном режиме, отключил все подозрительные процессы в автозагрузке и сделал полную проверку системы. Было найдено немеряное количество вирусов, после проверки было предложено перезагрузиться. И теперь после перезагрузки не могу войти в систему ни под каким профилем!!!!! Ни под уч. записью "Администратор", ни под какой либо другой. Ни в одном из доступных режимов (безопасный, обычная загрузка, загрузка последней удачной конфигурации). Сначала появляется окно "идет загрузка личных параметров", затем сразу идет "сохранение параметров", как будто происходит выход из уч.записи и снова появляется окно входа в систему, и так по кругу! Слишком поздно прочитал как по уму лечится эта зараза, как теперь быть ? Как войти в систему чтоб сделать все описанные на сайте процедуры по излечению от этого вируса? Пожалуйста подскажите!
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#2
Необходимо проверить наличие файла userinit.exе на диске.

1. Нам нужен любой загрузчик с возможностью правки удаленного реестра (BartPe, liveCD......)
2. Запустите regedit и выделите раздел HKEY_USERS.
3. Выберите в меню программы File - Load Hive (Файл - Загрузить куст) и перейдите к папке, где находится реестр вашей Windows (обычно C:\Windows\System32\Config).
4. Выделите файл SOFTWARE без расширения и нажмите Open (Открыть).
5. Введите имя для раздела, который вы загрузили, например, MyHive.
В MyHive ищем
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ userinit должен выглядеть так:

Код:
C:\WINDOWS\system32\userinit.exe,
(запятая в конце строки обязательна)
Закончив редактирование, раздел обязательно нужно выгрузить. Для этого выделите ветку MyHive и выберите в меню программы File - Unload Hive (Файл - Выгрузить куст)

Или установить систему в режиме восстановления и потом долечивать.
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#3
Выполнил все приведенные операции, все нормально, в систему захожу под любым логином, подскажите теперь можно ли воспользоваться найденным способом лечения описанным по этой ссылке http://virusinfo.info/showthread.php?t=33444 ?
По результатм поиска в IceSword был найден только файл C:\WINDOWS\system32\vmmreg32.dll и был удален.
Остальные файлы найдены не были, но вспомниаю названия, остальные были найдены при проверке утилитой launch.exe и удалены ею.
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#4
С того же ресурса

Пожалуйста, не выполняйте скрипты лечения, написанные для других пользователей. Каждый случай уникален, Вы можете нанести вред и Вашему компьютеру, и нашему сервису. За последствия, наступившие в случае невыполнения данного пункта, портал VirusInfo ответственности не несет! В данном случае администрация ресурса имеет право отказать в оказании помощи без пояснения причин.
Как будто кто-то за что-то несет ответственность :)

Но смыл, передается.. никто не знает, что еще "живет" на вашей машине.

Добавлено через 2 минуты 7 секунд
Рекомендую подготовить логи. Может что-то еще живет в Вашей машине.
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#5
Спасибо за помощь, подготовлю все необходимые логи, только почитаю как это делается )))

На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#6
На многих форумах просто наоборот, всеми силами пытаются тебе втолковать что не стоит плодить темы однотипные и сначала воспользоваться поиском и найти решение для похожей проблемы, так что поневоле задумаешься а спрашивать ли если у тебя все не совсем так но очень похоже ))))
Не в этом разделе :)
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#7
Вот что получилось по результатам проверки. Прикрепляю логи.
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#8
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('c:\windows\system32\termsrv.dll','');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки
Код:
 	O20 - AppInit_DLLs: vmmreg32.dll
Включите AVZPM и повторите логи.

Добавлено через 4 минуты 29 секунд
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\koqatnaa.exe 
C:\WINDOWS\kpmshiac.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#9
Выполнил все операции.
Архив 'quarantine.zip' отправил Вам по почте, а также прикрепляю новые логи, после выполнения скриптов в AVZ.
"Включите AVZPM и повторите логи." - надеюсь правильно понял, Ваше сообщение что нужно повторить логи - virusinfo_syscure.zip и virusinfo_syscheck.zip.


В OTMoveIt3 после отработки кода, действительно потребовалась перезагрузка, после в папке с логами был один единственный файл 05202009_142702.log - его содержимое приведу ниже.......


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp not found.
File/Folder C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp not found.
File/Folder C:\WINDOWS\koqatnaa.exe not found.
File/Folder C:\WINDOWS\kpmshiac.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^vmmreg32.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^WINDOWS^SYSTEM32^webmin^VIDEO.bkp\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kpmshiac\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\koqatnaa\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_142702

Files moved on Reboot...
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#10
Еще бы лог RSIT. По логу AVZ уже ничего не видно вредоносного.

Добавлено через 3 минуты 37 секунд
В карантин ничего вредоносного не попало.
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#11
Вот пожалуйста логи RSIT:

Я обращал внимание что после отработки AVZ было написано что не были найдены файлы video.bkp, vmmreg32.bkp и прочие. Но припоминаю что при проверке утилитой launch.exe такие файлы были найдены и предлагалось их удалить, что и было мной сделано, так что наверно поэтому их и не найдено теперь.
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#12
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\SYSTEM32\winhelp32.exe
:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Обновите систему до SP3+IE7 или 8 (на выбор) + все хотфиксы.
!!! Возможно потребуется повторная активация windows
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#13
Вот содержимое файла 05212009_092020.log

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\SYSTEM32\winhelp32.exe not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Help Service\\ deleted successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05212009_092020

Files moved on Reboot...


Систему постараюсь обновить, в данный момент нет сервис пака под рукой.
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#14
Как проблемы?
 

scare82

Активный пользователь
Сообщения
8
Симпатии
0
#15
На мой неопытный взгляд никаких симптомов вируса больше нет.
Так что видимо все вылечено?

Огромное Вам спасибо, третий день не перестаю удивляться насколько здорово Вы помогаете, абсолютно бесплатно:)
 
Статус
В этой теме нельзя размещать новые ответы.