Большая Любовь

Printable View

09.06.2010, 10:56
MicShen

Большая Любовь

При загрузке Windows XP(sp3) появляется окно с текстом "Я очень люблю тебя!! Улыбнись!=)" и кнопкой [OK]? нажав на которую попадаю в экран выбора юзера. Дальше все нормально, но улыбаться уже не хочется.
Пробовал AVG, Dr.WEB, Касперский не помогло. В реестре HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon нашел строки: LegalNoticeCaption со значением "Я люблю тебя" и LegalNoticeText "Я очень люблю тебя!! Улыбнись!=)", а в Userinit написано "userinit.exe,wscript.exeC;\windows\system32\prnact.vbs
В корне C:\ файл "Прочитай=)"
Удалил текущие значения и файл - загрузился нормально, открыл реестр., там все как я выставил. Затем открыл диск C:\ и сразу все что я правил в реестре вернулось к первоначальному виду.
В интернете нашел подобный случай в 2008 году, но там все кончилось переустановкой системы.
Помогите, :censored: второй день
09.06.2010, 11:23
DefesT

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] в Hijackthis:[CODE]F2 - REG:system.ini: UserInit=userinit.exe,wscript.exe C:\WINDOWS\system32\prnact.vbs[/CODE]
Отключите компьютер от интернета, а также [B]антивирус[/B] и/или [B]файрвол[/B].
Закройте все программы, выполните скрипт в AVZ:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\JOPPEPK.exe','');
QuarantineFile('C:\WINDOWS\system32\prnact.vbs','');
DeleteFile('C:\WINDOWS\system32\prnact.vbs');
DeleteService('JOPPEPK');
DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\JOPPEPK.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(7);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил [COLOR="DarkRed"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы. Сделайте новые логи по правилам + лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]
10.06.2010, 04:04
MicShen

Любовь прошла

[U]для DefesT[/U]
Спасибо!!!
Дрянь прикончил, следов не осталось.

Всем спасибо за внимание.
10.06.2010, 07:07
polword

[QUOTE=DefesT;651860]Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer[/QUOTE]
Спасибо говорить пока рано....
Пришлите карантин и сделайте указанные логи
11.06.2010, 02:30
MicShen

Карантин отправил, что делать с логами?
11.06.2010, 06:53
polword

логи делайте, не забудьте про [URL="http://virusinfo.info/showthread.php?t=40118"]Gmer[/URL]
11.06.2010, 09:06
MicShen

Я имел ввиду - отправлять или пока нет.
11.06.2010, 09:11
polword

конечно да
11.06.2010, 09:28
MicShen

ОК.
11.06.2010, 11:09
DefesT

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
[CODE]gmer.exe -del service nywefjnzy
gmer.exe -del file "C:\WINDOWS\system32\ztefvmid.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nywefjnzy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\nywefjnzy"
gmer.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
12.06.2010, 01:41
MicShen

Пауза. Машина вне доступа до 15.06.
13.06.2010, 19:52
AndreyKa

Об этом не обязательно было писать.
15.06.2010, 04:35
MicShen

Готов.
15.06.2010, 10:10
AndreyKa

Чисто.
15.06.2010, 10:30
MicShen

Всем спасибо!
16.06.2010, 10:30
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]