-
Жопаринеза версия 2.0
lol.exe
ничем не упакован, писан на delphi
начало процедуры buttonclick
Код:
CODE:00477CD0 push ebp
CODE:00477CD1 mov ebp, esp
CODE:00477CD3 push 0
CODE:00477CD5 push ebx
CODE:00477CD6 push esi
CODE:00477CD7 mov esi, eax
CODE:00477CD9 mov ebx, offset unk_47BC68
CODE:00477CDE xor eax, eax
CODE:00477CE0 push ebp
CODE:00477CE1 push offset loc_478128
CODE:00477CE6 push dword ptr fs:[eax]
CODE:00477CE9 mov fs:[eax], esp
CODE:00477CEC lea edx, [ebp+var_4]
CODE:00477CEF mov eax, [esi+33Ch]
CODE:00477CF5 call @Controls@TControl@GetText$qqrv ; Controls::TControl::GetText(void)
CODE:00477CFA mov eax, [ebp+var_4]
CODE:00477CFD mov edx, offset _str_667895.Text
CODE:00477D02 call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00477D07 jnz Pass_false
CODE:00477D0D mov eax, offset dword_47BC6C
CODE:00477D12 mov edx, offset _str_System_CurrentC.Text
CODE:00477D17 call @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
может давно не занимался я этим делом, но
CODE:00477CF5 - берем текст из texbox
00477D02 - сравниваем с текстом 667895
00477D07 - если не совпадает, пишем "пароль не правильный", если совпадает, выполняем ряд действий и пишем "Пароль верный"
что-то слишком просто, ктонить может проверить?
Добавлено через 37 минут
жесть, токашо на виртуалке запустил это файло, появилась заставка с просьбой ввести код, ввел код, камп перезагрузился, после загрузки все нормально заработало, все ограничения пропали.
Последний раз редактировалось Serrrgio; 19.05.2009 в 15:44.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Последний раз редактировалось Serrrgio; 26.06.2009 в 12:53.
-
Junior Member
- Вес репутации
- 55
заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?
-
Сообщение от
2+2=5
заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?
http://virusinfo.info/pravila.html
-
-
Сообщение от
Serrrgio
что-то слишком просто, ктонить может проверить?
Похоже, что так оно и есть. Но есть предположение, что у каждого нового сэмпла может быть свой код разблокировки.
-
У каждого нет, в рамках разных версий вполне.
-
-
Junior Member
- Вес репутации
- 55
Люди , поймал жопаринеза ver 2.0 , что делать?
-
Разблокироваться паролем 667895
-
-
Junior Member
- Вес репутации
- 55
Здравствуйте, прошу прощения. Не знаю уже, что делать. Облазила весь форум, так и не нашла, как справиться с этим ужасным вирусом.
Сплавили мне ноутбук с этим зловредным вирусом. система Windows XP SP3
В общем-то говоря, с помощью лайвСД удалось мне удалить lol.exe и gopa.exe. просканить с лайвки с помощью avz диски локальные. Нашлись кое-какие трояны - были удалены.
В общем то я теперь могу спокойно заходить в учетку без изображения "пятой точки". НО! Осталась одна нерешаемая для меня проблема. не могу вернуть обратно права администратора. Всё, чтобы я не делала - запрещается. Открыть/удалить какой-либо файл - выдает ошибку об ограничении прав администратором. Создавала другую учетку с правами админа - такая же ерунда.
Через safemode зайти так же не удается, сразу выдает BSOD. Режим отладки тоже мне помочь ничем не может.
Второй вечер я уже шаманю с ноутбуком - ничего в голову не приходит. Может быть подскажите, какие мне манипуляции совершить с этим "шайтан девайсом", чтобы уже наконец-то вернуть права админа?!
-
-
-
Junior Member
- Вес репутации
- 55
Добавлю свой опыт, может кому и пригодится.
Заразился ПК этой жопой в другом городе. Из средств доступа только РДП, два пользователя (оба админы), НОД32 профукал все... в топку его. Замечено, что заставка с булками выскакивала талько на одном юзере, второй заходил на рабочий стол, но права порезаны... Теперь, как лечить. Есть два варианта, либо с помощью LiveCD (drweb) загрузится и убить сам троян (lol.exe d C:\windows\system32\ и его копии по всем дискам), либо загрузится под другим пользователем (можно попробовать встроенную учетку "Администратор", "Administrator" и т.д. Но!! нужен инет, чтоб закачать drwebCurit и убить червя) главное добраться до рабочего стола.
Если заюзали LiveCD и убили червя, осталось восстановить доступ. Если только зашли под другим юзером тоже нормально (обязательно наличие активного инета).
Итак пустой стол и все запрещено... идем в пуск\панель управления\назначенные задания\ далее кликаем на "Дабавить задание" - "Далее" - "Обзор", вот мы и добрались до C:\windows\. Далее в папке windows ищем "regedit" и выбираем его. назначаем запуск "однократно", время через 2 мин, кликаем "Далее" и "готово". Теперь ждем... Через 2 мин он запустится. И теперь само главное, эта зараза меняет параметры в следующей ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer
Вот в ней и нужно все параметры со значением "1" изменить на "0", и сразу вам станет доступно практически все необходимое. Есть еще там один "двоичный параметр" точно не помню, связан с диском, его я просто удалил.
Если вы уже очистили от жопы все, хорошо. Если нет, тогда идете на сайт веба http://drweb.com/ и качаете "Dr.Web CureIt!®", потом чистите и перегружаетесь.
Проделывалось все вышеописанное через RDP под учетками админа, правда на месте была сообразительная девушка с Dr.Web LiveCD. Хотя если есть инет, можно справиццо в одиночку.
PS. Запустить AVZ или что-то еще невозможно без правки реестра.
Добавлено через 36 минут
2 Naf_Naf
Насколько я понял, права админа он не лешает, просто выставляет ограничения для всех в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur r entVertsion\Policies\Explorer) . Именно через правку реестра можно вернуть возможность что-то делать, все параметры со значением "1" изменить на "0".
Последний раз редактировалось stbasileus; 03.06.2009 в 13:14.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 55
Здравствуйте!!!у меня та же проблема с вирусом,я смогла по вашим рекомендациям удалить lol но переименовать cmd.exe в lol.exe не получается из-за ограничений!подскажите что мне делать!!?
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
Значит у меня такая проблема,я ввожу пароль указаный выше (667895) выдаёт -Не правильный пароль! Не зли жопу! - Подскажите что делать!!!!!!
-
Junior Member
- Вес репутации
- 55
Встретилась с проблемой!!!
Скачала с контакта нов. Adobe Flash Player версии 10.3, запустила и,Поймала вирус, Жопаринеза, перезагрузила комп она не уходит, смс не отправляется.
сделала как предложили:правой кнопкой по белому полю где написан текст смс, затем сочетание клавиш Alt+F4, мне хватило одного раза нажать и окно с жопой закрылось, НО
В пуске у меня отражается: программы
Справка иподдержка
Завершение сеанса Администратор
Выкл. Компьютера.
На раб столе ничего нет.......
При попытке вылезти к проводнику пишет:
"Операция отменена вследствии действующих на компьютере ограничений. Обратитесь к Админестратору сети."
Подскажите как убрать???
как нить по проще, я не понимаю что значит всякие риэстры итп!!!
И ещё вариант предложили антивирусом, но как его запустить на компе который с жопой!!!????
Помогите через 2 дня защита диплома а у меня диплом там.
Добавлено через 41 минуту
Жопаринеза версии 2.0
Последний раз редактировалось Bezkonca; 13.06.2009 в 09:50.
Причина: Добавлено
-
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 55
я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!
-
Сообщение от
Bezkonca
я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!
Попробуйте Dr.Web LiveCD http://www.freedrweb.com/livecd
Потом в раздел помогите и логи по правилам.
LiveCD писать с чистого компа.
Последний раз редактировалось SDA; 13.06.2009 в 13:55.
-
-
Дайте ссылку мне в личку на приложение в контакте, где скачали новый флэш плейер.
-
-
2 SDA
ничего не получится, там все блокировано
как вариант, набросал прогу которая снимает ограничения unlocker, загрузится с livecd, подменить како-то файл который находится в автозагрузке (например ctfmon.exe) этим файлом, потом вернуть все назад.
в drweb livecd нужно запусить mc, появится аналог Norton Comander (Far), там найти ваш системный диск (обычно диск С), перейти по путинайти файл ctfmon.exe его переименовать (shift+F6 вроде) в ctfmon1.exe, а unlocker.exe, предварительно записаный на флеш или другой носитель, в ctfnom.exe в тойже папке и перезагрузить камп.
после перезагрузки должно появится окно программы unlocker с 2 кнопками (если его не видно из-за зловреда пробывать нажать alt+tab), в программе нажать unlock & reboot, камп перезагрузится, после этого ограничения должны пропасть (надеюсь), переименовать назад файл ctfmon1.exe в ctfmon.exe (перед этим удалить unlocker с именем ctfnom.exe) и перезагрузить камп. Ну и потом логи по правилам для зачистки.
можно подменить любой другой файл из автозагрузки, надеюсь Хелперы раскажут подробно как это сделать.
Последний раз редактировалось Serrrgio; 28.06.2009 в 01:11.