-
Junior Member
- Вес репутации
- 51
Большая Любовь
При загрузке Windows XP(sp3) появляется окно с текстом "Я очень люблю тебя!! Улыбнись!=)" и кнопкой [OK]? нажав на которую попадаю в экран выбора юзера. Дальше все нормально, но улыбаться уже не хочется.
Пробовал AVG, Dr.WEB, Касперский не помогло. В реестре HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon нашел строки: LegalNoticeCaption со значением "Я люблю тебя" и LegalNoticeText "Я очень люблю тебя!! Улыбнись!=)", а в Userinit написано "userinit.exe,wscript.exeC;\windows\system32\prnac t.vbs
В корне C:\ файл "Прочитай=)"
Удалил текущие значения и файл - загрузился нормально, открыл реестр., там все как я выставил. Затем открыл диск C:\ и сразу все что я правил в реестре вернулось к первоначальному виду.
В интернете нашел подобный случай в 2008 году, но там все кончилось переустановкой системы.
Помогите, второй день
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijackthis:
Код:
F2 - REG:system.ini: UserInit=userinit.exe,wscript.exe C:\WINDOWS\system32\prnact.vbs
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\JOPPEPK.exe','');
QuarantineFile('C:\WINDOWS\system32\prnact.vbs','');
DeleteFile('C:\WINDOWS\system32\prnact.vbs');
DeleteService('JOPPEPK');
DeleteFile('C:\DOCUME~1\Olga\LOCALS~1\Temp\JOPPEPK.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(7);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer
Последний раз редактировалось DefesT; 09.06.2010 в 11:28.
-
-
Junior Member
- Вес репутации
- 51
Любовь прошла
для DefesT
Спасибо!!!
Дрянь прикончил, следов не осталось.
Всем спасибо за внимание.
-
Сообщение от
DefesT
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам + лог gmer
Спасибо говорить пока рано....
Пришлите карантин и сделайте указанные логи
-
-
Junior Member
- Вес репутации
- 51
Карантин отправил, что делать с логами?
-
логи делайте, не забудьте про Gmer
-
-
Junior Member
- Вес репутации
- 51
Я имел ввиду - отправлять или пока нет.
-
-
-
Junior Member
- Вес репутации
- 51
-
Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
Код:
gmer.exe -del service nywefjnzy
gmer.exe -del file "C:\WINDOWS\system32\ztefvmid.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nywefjnzy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\nywefjnzy"
gmer.exe -reboot
И запустите cleanup.bat.
Компьютер перезагрузится!
Сделать новый лог gmer.
-
-
Junior Member
- Вес репутации
- 51
Пауза. Машина вне доступа до 15.06.
-
Об этом не обязательно было писать.
-
-
Junior Member
- Вес репутации
- 51
-
-
-
Junior Member
- Вес репутации
- 51
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-