Страница 1 из 5 12345 Последняя
Показано с 1 по 20 из 91.

Жопаринеза версия 2.0

  1. #1
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.04.2007
    Адрес
    Крым, Севастополь
    Сообщений
    127
    Вес репутации
    85

    Жопаринеза версия 2.0

    lol.exe
    ничем не упакован, писан на delphi
    начало процедуры buttonclick
    Код:
    CODE:00477CD0                 push    ebp
    CODE:00477CD1                 mov     ebp, esp
    CODE:00477CD3                 push    0
    CODE:00477CD5                 push    ebx
    CODE:00477CD6                 push    esi
    CODE:00477CD7                 mov     esi, eax
    CODE:00477CD9                 mov     ebx, offset unk_47BC68
    CODE:00477CDE                 xor     eax, eax
    CODE:00477CE0                 push    ebp
    CODE:00477CE1                 push    offset loc_478128
    CODE:00477CE6                 push    dword ptr fs:[eax]
    CODE:00477CE9                 mov     fs:[eax], esp
    CODE:00477CEC                 lea     edx, [ebp+var_4]
    CODE:00477CEF                 mov     eax, [esi+33Ch]
    CODE:00477CF5                 call    @Controls@TControl@GetText$qqrv ; Controls::TControl::GetText(void)
    CODE:00477CFA                 mov     eax, [ebp+var_4]
    CODE:00477CFD                 mov     edx, offset _str_667895.Text
    CODE:00477D02                 call    @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
    CODE:00477D07                 jnz     Pass_false
    CODE:00477D0D                 mov     eax, offset dword_47BC6C
    CODE:00477D12                 mov     edx, offset _str_System_CurrentC.Text
    CODE:00477D17                 call    @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
    может давно не занимался я этим делом, но
    CODE:00477CF5 - берем текст из texbox
    00477D02 - сравниваем с текстом 667895
    00477D07 - если не совпадает, пишем "пароль не правильный", если совпадает, выполняем ряд действий и пишем "Пароль верный"
    что-то слишком просто, ктонить может проверить?

    Добавлено через 37 минут

    жесть, токашо на виртуалке запустил это файло, появилась заставка с просьбой ввести код, ввел код, камп перезагрузился, после загрузки все нормально заработало, все ограничения пропали.
    Последний раз редактировалось Serrrgio; 19.05.2009 в 15:44. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.04.2007
    Адрес
    Крым, Севастополь
    Сообщений
    127
    Вес репутации
    85
    логи после *опы
    Последний раз редактировалось Serrrgio; 26.06.2009 в 12:53.

  4. #3
    Junior Member Репутация
    Регистрация
    24.05.2009
    Сообщений
    1
    Вес репутации
    55
    заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от 2+2=5 Посмотреть сообщение
    заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?
    http://virusinfo.info/pravila.html

  6. #5
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    20.09.2004
    Адрес
    г. Киев, Украина.
    Сообщений
    1,322
    Вес репутации
    819
    Цитата Сообщение от Serrrgio Посмотреть сообщение
    что-то слишком просто, ктонить может проверить?
    Похоже, что так оно и есть. Но есть предположение, что у каждого нового сэмпла может быть свой код разблокировки.
    ---
    С уважением,
    Borka.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    У каждого нет, в рамках разных версий вполне.

  8. #7
    Junior Member Репутация
    Регистрация
    02.06.2009
    Сообщений
    1
    Вес репутации
    55
    Люди , поймал жопаринеза ver 2.0 , что делать?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Разблокироваться паролем 667895

  10. #9
    Junior Member Репутация
    Регистрация
    03.06.2009
    Адрес
    Москва
    Сообщений
    1
    Вес репутации
    55
    Здравствуйте, прошу прощения. Не знаю уже, что делать. Облазила весь форум, так и не нашла, как справиться с этим ужасным вирусом.
    Сплавили мне ноутбук с этим зловредным вирусом. система Windows XP SP3
    В общем-то говоря, с помощью лайвСД удалось мне удалить lol.exe и gopa.exe. просканить с лайвки с помощью avz диски локальные. Нашлись кое-какие трояны - были удалены.
    В общем то я теперь могу спокойно заходить в учетку без изображения "пятой точки". НО! Осталась одна нерешаемая для меня проблема. не могу вернуть обратно права администратора. Всё, чтобы я не делала - запрещается. Открыть/удалить какой-либо файл - выдает ошибку об ограничении прав администратором. Создавала другую учетку с правами админа - такая же ерунда.
    Через safemode зайти так же не удается, сразу выдает BSOD. Режим отладки тоже мне помочь ничем не может.
    Второй вечер я уже шаманю с ноутбуком - ничего в голову не приходит. Может быть подскажите, какие мне манипуляции совершить с этим "шайтан девайсом", чтобы уже наконец-то вернуть права админа?!


  11. #10

  12. #11
    Junior Member Репутация
    Регистрация
    03.06.2009
    Сообщений
    1
    Вес репутации
    55
    Добавлю свой опыт, может кому и пригодится.
    Заразился ПК этой жопой в другом городе. Из средств доступа только РДП, два пользователя (оба админы), НОД32 профукал все... в топку его. Замечено, что заставка с булками выскакивала талько на одном юзере, второй заходил на рабочий стол, но права порезаны... Теперь, как лечить. Есть два варианта, либо с помощью LiveCD (drweb) загрузится и убить сам троян (lol.exe d C:\windows\system32\ и его копии по всем дискам), либо загрузится под другим пользователем (можно попробовать встроенную учетку "Администратор", "Administrator" и т.д. Но!! нужен инет, чтоб закачать drwebCurit и убить червя) главное добраться до рабочего стола.
    Если заюзали LiveCD и убили червя, осталось восстановить доступ. Если только зашли под другим юзером тоже нормально (обязательно наличие активного инета).
    Итак пустой стол и все запрещено... идем в пуск\панель управления\назначенные задания\ далее кликаем на "Дабавить задание" - "Далее" - "Обзор", вот мы и добрались до C:\windows\. Далее в папке windows ищем "regedit" и выбираем его. назначаем запуск "однократно", время через 2 мин, кликаем "Далее" и "готово". Теперь ждем... Через 2 мин он запустится. И теперь само главное, эта зараза меняет параметры в следующей ветке:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer
    Вот в ней и нужно все параметры со значением "1" изменить на "0", и сразу вам станет доступно практически все необходимое. Есть еще там один "двоичный параметр" точно не помню, связан с диском, его я просто удалил.
    Если вы уже очистили от жопы все, хорошо. Если нет, тогда идете на сайт веба http://drweb.com/ и качаете "Dr.Web CureIt!®", потом чистите и перегружаетесь.

    Проделывалось все вышеописанное через RDP под учетками админа, правда на месте была сообразительная девушка с Dr.Web LiveCD. Хотя если есть инет, можно справиццо в одиночку.

    PS. Запустить AVZ или что-то еще невозможно без правки реестра.

    Добавлено через 36 минут

    2 Naf_Naf

    Насколько я понял, права админа он не лешает, просто выставляет ограничения для всех в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur r entVertsion\Policies\Explorer) . Именно через правку реестра можно вернуть возможность что-то делать, все параметры со значением "1" изменить на "0".
    Последний раз редактировалось stbasileus; 03.06.2009 в 13:14. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2009
    Сообщений
    2
    Вес репутации
    55
    Здравствуйте!!!у меня та же проблема с вирусом,я смогла по вашим рекомендациям удалить lol но переименовать cmd.exe в lol.exe не получается из-за ограничений!подскажите что мне делать!!?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    The worst foe lies within the self...

  15. #14
    Junior Member Репутация
    Регистрация
    12.06.2009
    Сообщений
    1
    Вес репутации
    55
    Значит у меня такая проблема,я ввожу пароль указаный выше (667895) выдаёт -Не правильный пароль! Не зли жопу! - Подскажите что делать!!!!!!

  16. #15
    Junior Member Репутация
    Регистрация
    13.06.2009
    Сообщений
    2
    Вес репутации
    55
    Встретилась с проблемой!!!
    Скачала с контакта нов. Adobe Flash Player версии 10.3, запустила и,Поймала вирус, Жопаринеза, перезагрузила комп она не уходит, смс не отправляется.
    сделала как предложили:правой кнопкой по белому полю где написан текст смс, затем сочетание клавиш Alt+F4, мне хватило одного раза нажать и окно с жопой закрылось, НО
    В пуске у меня отражается: программы
    Справка иподдержка
    Завершение сеанса Администратор
    Выкл. Компьютера.
    На раб столе ничего нет.......
    При попытке вылезти к проводнику пишет:
    "Операция отменена вследствии действующих на компьютере ограничений. Обратитесь к Админестратору сети."

    Подскажите как убрать???

    как нить по проще, я не понимаю что значит всякие риэстры итп!!!
    И ещё вариант предложили антивирусом, но как его запустить на компе который с жопой!!!????

    Помогите через 2 дня защита диплома а у меня диплом там.

    Добавлено через 41 минуту

    Жопаринеза версии 2.0
    Последний раз редактировалось Bezkonca; 13.06.2009 в 09:50. Причина: Добавлено

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Тогда выполняйте: http://virusinfo.info/pravila.html
    The worst foe lies within the self...

  18. #17
    Junior Member Репутация
    Регистрация
    13.06.2009
    Сообщений
    2
    Вес репутации
    55
    я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Bezkonca Посмотреть сообщение
    я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!
    Попробуйте Dr.Web LiveCD http://www.freedrweb.com/livecd
    Потом в раздел помогите и логи по правилам.
    LiveCD писать с чистого компа.
    Последний раз редактировалось SDA; 13.06.2009 в 13:55.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Дайте ссылку мне в личку на приложение в контакте, где скачали новый флэш плейер.

  21. #20
    External Specialist Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.04.2007
    Адрес
    Крым, Севастополь
    Сообщений
    127
    Вес репутации
    85
    2 SDA
    ничего не получится, там все блокировано

    как вариант, набросал прогу которая снимает ограничения unlocker, загрузится с livecd, подменить како-то файл который находится в автозагрузке (например ctfmon.exe) этим файлом, потом вернуть все назад.

    в drweb livecd нужно запусить mc, появится аналог Norton Comander (Far), там найти ваш системный диск (обычно диск С), перейти по пути
    Код:
    c:\windows\system32
    найти файл ctfmon.exe его переименовать (shift+F6 вроде) в ctfmon1.exe, а unlocker.exe, предварительно записаный на флеш или другой носитель, в ctfnom.exe в тойже папке и перезагрузить камп.
    после перезагрузки должно появится окно программы unlocker с 2 кнопками (если его не видно из-за зловреда пробывать нажать alt+tab), в программе нажать unlock & reboot, камп перезагрузится, после этого ограничения должны пропасть (надеюсь), переименовать назад файл ctfmon1.exe в ctfmon.exe (перед этим удалить unlocker с именем ctfnom.exe) и перезагрузить камп. Ну и потом логи по правилам для зачистки.

    можно подменить любой другой файл из автозагрузки, надеюсь Хелперы раскажут подробно как это сделать.
    Последний раз редактировалось Serrrgio; 28.06.2009 в 01:11.

Страница 1 из 5 12345 Последняя

Похожие темы

  1. Жопаринеза ver 2.1
    От Serrrgio в разделе Вредоносные программы
    Ответов: 8
    Последнее сообщение: 16.07.2009, 03:36
  2. Жопаринеза 2.3
    От nightmare в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 01.07.2009, 00:34
  3. Жопаринеза 2.1
    От overdamage в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 26.06.2009, 19:20
  4. Ответов: 1
    Последнее сообщение: 04.06.2009, 12:44
  5. Жопаринеза версия 2.0
    От pcat5 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 20.05.2009, 21:25

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00865 seconds with 19 queries