Вместо часов Бляд? или Photo.exe

Мой знакомый запустил программу в OS Win XP "Photo.exe", после этого появилась сообщение: "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail [email][email protected][/email] номер и код авторизации карты пополнения счета WebMoney номиналом в 10 wmz. Вот две ссылки [url]http://www.webmoney.ru/cardmain.shtml[/url] и [url]http://www.guarantee.ru/Default.aspx?tabid=168[/url] Там ты можешь найти свой регион и город, где тебе удобнее купить карточку webmoney. В ответ в течение суток в на свой e-mail ты получишь фаил для удаления этой программы."
После перезапуска PC с рабочего стола исчезли все иконки, была заблокирована кнопка "Пуск", не запускалась система восстановления и программа "regedit", "Проводник", вместо часов появилась надпись "Блядь".
На другой машине, предварительно сделав образ системы и копию реестра, запустили эту программу, и снова сделали вторую копию реестра.
Сравнили эти копии:Regsnp2-Regsnp1.zip
Подробности: Insertion.zip
В безопасном режиме внешним редактором реестра удалили все записи в ресстре и машина заработала.
Может кому пригодится.

Очередная реинкорнация гривня - [url]http://virusinfo.info/showthread.php?t=3584[/url]
Если Photo.exe остался поделитесь с нами - [url]https://virusinfo.info/upload_virus.php[/url] (ссылка на тему - [url]http://virusinfo.info/showthread.php?t=6536[/url])

Complete scanning result of "061020_130742_Photo_4539025eba244", received in VirusTotal at 10.20.2006, 20:35:14 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.20.2006 no virus found
Authentium 4.93.8 10.20.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.20.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 10.20.2006 no virus found
[B]DrWeb 4.33 10.20.2006 Trojan.Plastix [/B]
eTrust-InoculateIT 23.73.30 10.20.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 no virus found
Fortinet 2.82.0.0 10.20.2006 suspicious
F-Prot 3.16f 10.20.2006 no virus found
F-Prot4 4.2.1.29 10.19.2006 no virus found
Ikarus 0.2.65.0 10.20.2006 no virus found
[B]Kaspersky 4.0.2.24 10.20.2006 Trojan.Win32.Krotten.bz [/B]
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.20.2006 no virus found
NOD32v2 1.1819 10.20.2006 no virus found
Norman 5.90.23 10.20.2006 no virus found
Panda 9.0.0.4 10.20.2006 Suspicious file
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.20.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.20.2006 no virus found

Aditional Information
packers: Obsidium

Эта программа оключила кнопку "Выключить компьютер" на экране приветствия, восстановить можно так:
С помощью оснастки "Локальная политика безопасности" (..\WINDOWS\system32\secpol.msc) - "Локальные политики - Параметры безопасности - Завершение работы:разрешить завершение работы системы без выполнения входа в систему", сойства ->"Влючить"
Если эта политика отключена, кнопка "Выключить компьютер" на экране входа в Windows не отображается.

[url]http://info.drweb.com/show/2950/ru[/url]