# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  Жопаринеза версия 2.0

## Serrrgio

lol.exe
ничем не упакован, писан на delphi
начало процедуры buttonclick


```
CODE:00477CD0                 push    ebp
CODE:00477CD1                 mov     ebp, esp
CODE:00477CD3                 push    0
CODE:00477CD5                 push    ebx
CODE:00477CD6                 push    esi
CODE:00477CD7                 mov     esi, eax
CODE:00477CD9                 mov     ebx, offset unk_47BC68
CODE:00477CDE                 xor     eax, eax
CODE:00477CE0                 push    ebp
CODE:00477CE1                 push    offset loc_478128
CODE:00477CE6                 push    dword ptr fs:[eax]
CODE:00477CE9                 mov     fs:[eax], esp
CODE:00477CEC                 lea     edx, [ebp+var_4]
CODE:00477CEF                 mov     eax, [esi+33Ch]
CODE:00477CF5                 call    @[email protected]@GetText$qqrv ; Controls::TControl::GetText(void)
CODE:00477CFA                 mov     eax, [ebp+var_4]
CODE:00477CFD                 mov     edx, offset _str_667895.Text
CODE:00477D02                 call    @[email protected]@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00477D07                 jnz     Pass_false
CODE:00477D0D                 mov     eax, offset dword_47BC6C
CODE:00477D12                 mov     edx, offset _str_System_CurrentC.Text
CODE:00477D17                 call    @[email protected]@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
```

может давно не занимался я этим делом, но
CODE:00477CF5 - берем текст из texbox
00477D02 - сравниваем с текстом 667895
00477D07 - если не совпадает, пишем "пароль не правильный", если совпадает, выполняем ряд действий и пишем "Пароль верный"
что-то слишком просто, ктонить может проверить?

*Добавлено через 37 минут*

жесть, токашо на виртуалке запустил это файло, появилась заставка с просьбой ввести код, ввел код, камп перезагрузился, после загрузки все нормально заработало, все ограничения пропали.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Serrrgio

логи после *опы

----------


## 2+2=5

заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?

----------


## SDA

> заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?


http://virusinfo.info/pravila.html

----------


## borka

> что-то слишком просто, ктонить может проверить?


Похоже, что так оно и есть. Но есть предположение, что у каждого нового сэмпла может быть свой код разблокировки.

----------


## Alex_Goodwin

У каждого нет, в рамках разных версий вполне.

----------


## B0RIS

Люди , поймал жопаринеза ver 2.0 , что делать?

----------


## Alex_Goodwin

Разблокироваться паролем 667895

----------


## NaF NaF

Здравствуйте, прошу прощения. Не знаю уже, что делать. Облазила весь форум, так и не нашла, как справиться с этим ужасным вирусом.
Сплавили мне ноутбук  с этим зловредным вирусом. система Windows XP SP3
В общем-то говоря, с помощью лайвСД удалось мне удалить lol.exe и gopa.exe. просканить с лайвки с помощью avz диски локальные. Нашлись кое-какие трояны - были удалены. 
В общем то я теперь могу спокойно заходить в учетку без изображения "пятой точки". НО! Осталась одна нерешаемая для меня проблема. не могу вернуть обратно права администратора. Всё, чтобы я не делала - запрещается. Открыть/удалить какой-либо файл - выдает ошибку об ограничении прав администратором. Создавала другую учетку с правами админа - такая же ерунда. 
Через safemode зайти так же не удается, сразу выдает BSOD. Режим отладки тоже мне помочь ничем не может. 
Второй вечер я уже шаманю с ноутбуком - ничего в голову не приходит. Может быть подскажите, какие мне манипуляции совершить с этим "шайтан девайсом", чтобы уже наконец-то вернуть права админа?!

 :Sad:

----------


## pig

Внимательно прочитать, аккуратно выполнить

----------


## stbasileus

Добавлю свой опыт, может кому и пригодится.
Заразился ПК этой жопой в другом городе. Из средств доступа только РДП, два пользователя (оба админы), НОД32 профукал все... в топку его. Замечено, что заставка с булками выскакивала талько на одном юзере, второй заходил на рабочий стол, но права порезаны... Теперь, как лечить. Есть два варианта, либо с помощью LiveCD (drweb) загрузится и убить сам троян (lol.exe d C:\windows\system32\ и его копии по всем дискам), либо загрузится под другим пользователем (можно попробовать встроенную учетку "Администратор", "Administrator" и т.д. Но!! нужен инет, чтоб закачать drwebCurit и убить червя) главное добраться до рабочего стола.
Если заюзали LiveCD и убили червя, осталось восстановить доступ. Если только зашли под другим юзером тоже нормально (обязательно наличие активного инета). 
Итак пустой стол и все запрещено... идем в пуск\панель управления\назначенные задания\ далее кликаем на "Дабавить задание" - "Далее" - "Обзор", вот мы и добрались до C:\windows\. Далее в папке windows ищем "regedit" и выбираем его. назначаем запуск "однократно", время через 2 мин, кликаем "Далее" и "готово". Теперь ждем... Через 2 мин он запустится. И теперь само главное, эта зараза меняет параметры в следующей ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer
Вот в ней и нужно все параметры со значением "1" изменить на "0", и сразу вам станет доступно практически все необходимое. Есть еще там один "двоичный параметр" точно не помню, связан с диском, его я просто удалил. 
Если вы уже очистили от жопы все, хорошо. Если нет, тогда идете на сайт веба http://drweb.com/ и качаете "Dr.Web CureIt!®", потом чистите и перегружаетесь.

Проделывалось все вышеописанное через RDP под учетками админа, правда на месте была сообразительная девушка с Dr.Web LiveCD. Хотя если есть инет, можно справиццо в одиночку.

PS. Запустить AVZ или что-то еще невозможно без правки реестра.

*Добавлено через 36 минут*

2 Naf_Naf

Насколько я понял, права админа он не лешает, просто выставляет ограничения для всех в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur  r entVertsion\Policies\Explorer) . Именно через правку реестра можно вернуть возможность что-то делать, все параметры со значением "1" изменить на "0".

----------


## Ирина007

Здравствуйте!!!у меня та же проблема с вирусом,я смогла по вашим рекомендациям удалить lol но переименовать cmd.exe в lol.exe не получается из-за ограничений!подскажите что мне делать!!?

----------


## Kuzz

http://virusinfo.info/showpost.php?p...7&postcount=10

----------


## Markozz

Значит у меня такая проблема,я ввожу пароль указаный выше (667895) выдаёт -Не правильный пароль! Не зли жопу! - Подскажите что делать!!!!!!

----------


## Bezkonca

Встретилась с проблемой!!! 
Скачала с контакта нов. Adobe Flash Player версии 10.3, запустила и,Поймала вирус, Жопаринеза, перезагрузила комп она не уходит, смс не отправляется.
сделала как предложили:правой кнопкой по белому полю где написан текст смс, затем сочетание клавиш Alt+F4, мне хватило одного раза нажать и окно с жопой закрылось, НО 
В пуске у меня отражается: программы
                                        Справка иподдержка
                                        Завершение сеанса Администратор
                                        Выкл. Компьютера.
             На раб столе ничего нет.......
При попытке вылезти к проводнику пишет:
"Операция отменена вследствии действующих на компьютере ограничений. Обратитесь к Админестратору сети."

               Подскажите как убрать???

как нить по проще, я не понимаю что значит всякие риэстры итп!!!
И ещё вариант предложили антивирусом, но как его запустить на компе который с жопой!!!????

Помогите через 2 дня защита диплома  а у меня диплом там.

*Добавлено через 41 минуту*

Жопаринеза версии 2.0

----------


## Kuzz

Тогда выполняйте: http://virusinfo.info/pravila.html

----------


## Bezkonca

я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!! :Sad:

----------


## SDA

> я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!


Попробуйте Dr.Web LiveCD http://www.freedrweb.com/livecd
Потом в раздел помогите и логи по правилам.
LiveCD писать с чистого компа.

----------


## Alex_Goodwin

Дайте ссылку мне в личку на приложение в контакте, где скачали новый флэш плейер.

----------


## Serrrgio

2 *SDA*
ничего не получится, там все блокировано

как вариант, набросал прогу которая снимает ограничения unlocker, загрузится с livecd, подменить како-то файл который находится в автозагрузке (например ctfmon.exe) этим файлом, потом вернуть все назад.

в drweb livecd нужно запусить mc, появится аналог Norton Comander (Far), там найти ваш системный диск (обычно диск С), перейти по пути

```
c:\windows\system32
```

найти файл *ctfmon.exe* его переименовать (shift+F6  вроде) в *ctfmon1.exe*, а *unlocker.exe*, предварительно записаный на флеш или другой носитель, в *ctfnom.exe* в тойже папке и перезагрузить камп.
после перезагрузки должно появится окно программы unlocker с 2 кнопками (если его не видно из-за зловреда пробывать нажать alt+tab), в программе нажать *unlock & reboot*, камп перезагрузится, после этого ограничения должны пропасть (надеюсь), переименовать назад файл *ctfmon1.exe* в *ctfmon.exe* (перед этим удалить unlocker с именем *ctfnom.exe*) и перезагрузить камп. Ну и потом логи по правилам для зачистки.

можно подменить любой другой файл из автозагрузки, надеюсь Хелперы раскажут подробно как это сделать.

----------


## Igorpilot2000

Люди добрые, помогите пожалуйста. Воспользовался методом удаления Жопаринезы ver 2. 0 по ссылке http://test.internet.natm.ru/Статьи/...gopa-kill.html
У меня стоит Vista и я сделал все по плану, НО в пункте №9 я удалил строку реестра, не посмотрев в значение! То есть я не знаю адрес, где расположен троян. Помогите пожалуйста- погибаю...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Гадалки на другом форуме... Попробуйте CureIt, может, он знает эту разновидность.

----------


## Igorpilot2000

К сожалению, я не могу установить антвирус, троян заблокировал права администратора... Как мне им воспользоваться?

----------


## AndreyKa

Выполняйте инструкцию далее.

----------


## Igorpilot2000

Выполнил, но на рабочем столе все-равно ничего нет, все программы заблокированы вирусом...

*Добавлено через 31 секунду*

Единственное, что работает- так это IExplorer

----------


## natik_krsk

Ребята, помогите! Вчера в контакте словила вирус Жапаринеза вер.2.1  подскажите как избавиться от него, кроме как винду переустановить.... Заранее большое спасибо!
ЗЫ. Кстати вчера пробовала пароли вводить и отправить+через ф4 пробовала, но вообще ничего не помогает.

----------


## Alex_Goodwin

Где конкретно словили?

----------


## Serrrgio

вот бы заполучить этот "экземпляр", не вспомните ссылку по какой скачали этот файл?

можно загрузится с любого LiveCD, поискать и скопировать на любой носитель (flash) файл который скачали или поискать c:\windows\lol.exe
и передать его хелперам, ну и если это возможно мне, для исследования  :Smiley:  (выложить на любой файлообменник под паролем)

----------


## Alex_Goodwin

Пароли для разблокировки: 


> 923845
> 667895
> 285522


Подробная инструкция по лечению http://www.cyberforum.ru/security/thread38756.html

----------


## drongo

> Единственное, что работает- так это IExplorer


Ну так через него и запустить полиморфную версию avz(File->Open ...browse ),которую можно найти у меня  в подписи и сделать логи.Логи разметить в разделе "Помогите."

----------


## Igorpilot2000

Как сделать логи- подскажите! Права администратора заблокированы( Ни одну программу мне не удается открыть. Я в IE захожу так Пуск->Все программы(правый клик)->Проводник->Рабочий стол->IE ! !

----------


## bolshoy kot

Igorpilot2000, вот Вы в IE переходите по ссылке http://rapidshare.com/files/240879548/Special_avz.zip
У Вас не получается открыть этот файл?

----------


## Igorpilot2000

Да, не получается!

----------


## natik_krsk

> Пароли для разблокировки: 
> Подробная инструкция по лечению http://www.cyberforum.ru/security/thread38756.html


Эти пароли не подходят, я вчера уже их вводила.
Словила в контакте, хотела приложение посмотреть, но там сообщение было, что нужно плеер 10 скачать. Качнула, начала устанавливать. Сначала пропала строка пуск. Решила перезагрузить. А там Жопа :Angry:

----------


## Kuzz

> Да, не получается!


А эту версию?

----------


## natik_krsk

> http://www.cyberforum.ru/security/thread38756.html


 вот на этом сайте говориться, что нужно правой кнопкой нажать и бла-бла-бла. Но пачиму та когда я нажимаю правой кнопкой,то у меня вообще ничего не происходит. а когда нажимаю ctrl+esc у меня просто заставка сворачивается и разворачивается снова. через ф8 пробовала: выбираю безопасный режим, но комп перезагружается и опять заходит в меню выбора загрузок. вообщем ничего не могу сделать. доступа к компу вообще нет :Shocked:

----------


## Kuzz

> через ф8 пробовала: выбираю безопасный режим,


Там сказано: 


> Для версии 2.1:
> Произведите загрузку в режиме: "*Восстановление службы каталогов <только на контроллере домена Windows>*" Переходите к пункту №3
> 
> 2. Нажмите сочетание клавиш Alt+F4 (2-3 раза). Окно должно закрыться.
> 
> 3. Нажмите сочетание клавиш Ctrl+Esc, чтобы появилось меню "Пуск"


Если удастся запустить Internet Explorer - можно обратиться в "Помогите", выполняя правила этой версией AZV

----------


## Igorpilot2000

Скачал, не запускает, требует права админа((

----------


## natik_krsk

Для версии 2.1:
Произведите загрузку в режиме: "Восстановление службы каталогов <только на контроллере домена Windows>" Переходите к пункту №3

Через ф8 нет этой загрузки, покрайней мере у меня. Может я канечно, что-то не так делаю.

----------


## Serrrgio

*Igorpilot2000*
можно попробывать так:
посмотрите какой файл у вас есть C:\WINDOWS\lol.exe или C:\WINDOWS\win.exe
скопируйте его в другое место, из папки C:\WINDOWS удалите, переименуйте скачанный game.pif в lol.exe или win.exe и положите его в папку C:\WINDOWS



> У меня стоит Vista и я сделал все по плану, НО в пункте №9 я удалил строку реестра, не посмотрев в значение!


теперь заново создайте запись в реестре для автозапуска с именем " " (пробел) и значением C:\WINDOWS\lol.exe или C:\WINDOWS\win.exe
перезагрузите камп, должен загрузится AVZ, дальше по правилам.

----------


## Igorpilot2000

Нет ни lol.exe ни win.exe- все удалил по плану...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Serrrgio

какой именно файл удалили?

тогда делайте все кроме копирования, AVZ (game.pif) переименовать в тот файл который удалили, дальше все по плану.

----------


## Igorpilot2000

Сейчас попробую

----------


## Serrrgio

*natik_krsk*
что у Вас не получается по этой инструкции?
какой у Вас Windows?

----------


## Igorpilot2000

Дайте, пожалуйста ссылку на скачку файла game.pif. AVZ надо срочно! !!

----------


## Serrrgio

game

----------


## Igorpilot2000

Я засунул переименованный файл game в C:/Windows и создал в реестре строку для автозапуска со значением C:/Windows/lol.exe- Не запускается. Что делать?

----------


## Serrrgio

C:/Windows/lol.exe
или
C:\Windows\lol.exe
?
какие-нибудь сообщения были?
в какой ветке реестра создали запись?

----------


## Igorpilot2000

Слэши я правильно поставил: C:\Windows\lol.exe

ветка: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\Run]
Сообщений не было

----------


## Serrrgio

все, верно.
значит мы пошли по ложному пути
откатить все назад, удалить запись из реестра, и файл lol.exe

----------


## Igorpilot2000

Ок, что посоветуете сделать? Погибаю...

----------


## Kuzz

Скачанный game.pif  переименовать в userinit.exe и поместить его в C:\windows\system32, предварительно сохранив оригинальный файл.

Сделать логи и создать тему в "Помогите"
В теме обязательно указать, что для запуска AVZ им был подменен userinit.exe

----------


## Igorpilot2000

Ребята, я- делитант в этом деле, скажите пожалуйста, что такое логи и как их сделать?

----------


## Гриша

http://virusinfo.info/showthread.php?t=1235

----------


## bolshoy kot

_http://vkontakte.ru/app661176
Вот ссылка на вирус.
_http://driver.jino.ru/install_flash_player.exe
Вот сам файл.
Только вот сайт driver.jino.ru уже заблокирован.

*Добавлено через 1 минуту*

Вот автор программы _http://vkontakte.ru/search.php?id=1512132

----------


## Serrrgio

успел скачать  :Smiley: , файл win.exe, уже защищен протектором, запустил на виртуалке, щас выколупываю руками...

да, забыл добавить, уже детектится drweb.

----------


## Kuzz

> уже детектится drweb.


там .origin-детект

----------


## natik_krsk

> *natik_krsk*
> что у Вас не получается по этой инструкции?
> какой у Вас Windows?


Windows ХР.
Для версии 2.1:
*Перезагрузите компьютер, если до этого уже производились перезагрузки. При старте О.С., когда только появляется троянское окно, хаотично жмите по белой области левой кнопкой мыши (секунд 20-30).*
без результатно, как-то минуту нажимала.

*Произведите загрузку в режиме: "Восстановление службы каталогов <только на контроллере домена Windows>" Переходите к пункту №3*
Как это делать я вообще не могу понять :Shocked: 

*Нажмите сочетание клавиш Alt+F4 (2-3 раза). Окно должно закрыться*
Ничего не происходит, итог такой же как и при нажатии правой кнопкой мыши.

*Нажмите сочетание клавиш Ctrl+Esc, чтобы появилось меню "Пуск"*
Нажимаю, но Пуск не появляется. Вирус сворачивается и сразу же расворачивается, т.е. я вобще ничего не успеваю сделать. Продовала через диспетчер задач зайти, но снова не удача   :Sad:  Диспетчер пишет, что заблокирован администратором.

----------


## pig

> *Произведите загрузку в режиме: "Восстановление службы каталогов <только на контроллере домена Windows>" Переходите к пункту №3*
> Как это делать я вообще не могу понять


Это для серверных версий Windows.

----------


## natik_krsk

А тогда как для ХР сделать?  :Sad:

----------


## Serrrgio

да, с мышей финт не прокатывает
у меня получилось так закрыть окно:
зажимаем alt и давим F4 F5 F6, вобщем эти 3 кнопки в разном порядке пока не закроется окно  :Smiley: 
потом дальше с п. 3
единственное, не удаляйте файл c:\windows\win.exe по п.13
ну и когда все будет сдлано, сделайте логи по Правилам

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Гриша

> Это для серверных версий Windows.


На XP тоже есть...

----------


## natik_krsk

> На XP тоже есть...


Если есть, то как делать-то?




> да, с мышей финт не прокатывает
> у меня получилось так закрыть окно:
> зажимаем alt и давим F4 F5 F6, вобщем эти 3 кнопки в разном порядке пока не закроется окно 
> потом дальше с п. 3
> единственное, не удаляйте файл c:\windows\win.exe по п.13
> ну и когда все будет сдлано, сделайте логи по Правилам


ОК. Сегодня после работы попробую.

----------


## Гриша

> Если есть, то как делать-то?


У вас есть этот вариант запуска по нажатию F8?

----------


## natik_krsk

нет

----------


## Гриша

Пока не могу помочь, я сампл потерял, как найду, посмотрю...

----------


## natik_krsk

> Пока не могу помочь, я сампл потерял, как найду, посмотрю...


ок

----------


## Гриша

У меня подошел пароль 285522, пробовали? Если да, то буду смотреть дальше...

----------


## natik_krsk

пробовала вот эти:
923845
667895
285522

 и еще какие то, но не один не подошел.

----------


## Гриша

Версия 2.1?

----------


## natik_krsk

> Версия 2.1?


ага

----------


## Гриша

Файл win.exe или lol.exe из c\windows можете предоставить?

----------


## natik_krsk

в данным момент нет ибо я на работе.

----------


## Гриша

Когда сможете, зальете куда-нибудь и отпишите...

----------


## natik_krsk

ок

----------


## natik_krsk

> Файл win.exe или lol.exe из c\windows можете предоставить?


нет, не могу, потому что у меня доступ ко всем дискам закрыт. а еще у меня отключается правая кнопка мыши, когда я работаю на компе, вот поэтому фишка в трояне с мышкой и не прокатывает. В инете все нормально, но как только перехожу работать на копм, так сказать, то кнопка заблокирована.

Вообщем решила винду менять ибо пока никак не получается сделать по другому. А комп нужен :Sad:

----------


## nisome

> зажимаем alt и давим F4 F5 F6, вобщем эти 3 кнопки в разном порядке пока не закроется окно


Ну с ALT-F4 (есть ещё и CTRL-F4) понятно, но что делают ALT-F5 и ALT-F6?

----------


## PavelA

Windows+Break тоже не срабатывает?

----------


## Serrrgio

если честно не знаю, только что хотел запустить хиджак, ошибся и ткнул на GOPA_Unpacked.exe  :Smiley:  и она появилась, кода естеснно не помню, опять помогло 


> зажимаем alt и давим F4 F5 F6, вобщем эти 3 кнопки в разном порядке пока не закроется окно

----------


## turchan

жопаринеза 2.1 у знакомого  вобщем взял у него винт  файлов  win.exe и lol.exe нет вобще        зато есть подозрительный файл Kek.exe в C:/windows/

выкладываю
_удалено_

выкладывать надо по правилам !!!

----------


## Гриша

kek.exe- *Virus.Win32.Virut.ce*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## AndreyKa

*turchan*, ваш файл, к тому же, ещё инфицирован вирусом Win32.Virut.56.

----------


## turchan

хм а nod32 не видит

*Добавлено через 4 минуты*

ну и что мне нужно сделать перед тем как я отнесу винчестер обратно? win.exe и lol.exe в windows отсутствуют

----------


## PavelA

Пролечить файловый вирус на этом винчестере свежим Куреитом или АВПТулом.

----------


## aligator666

Не могу понять как Произвести загрузку в режиме: "Восстановление службы каталогов <только на контроллере домена Windows> 
ЗЫ: нажатием клавишы ф8? при появлении загрузки строки виндовс...или же в любой момент при загрузке?
Свернуть окно с ж*пой удалось сочитанием клавиш "альт+ф4+ф5+ф6" ну то понятно
далее "ctrl+еск" правой кнопкой по "все програмы" но пишет что нельзя провести запуск типа заблокировано что то....
Помогите что делать раскажите более подробно или же выложите в илюстрациях для "дыков" как я  :Cool:

----------


## Гриша

> ЗЫ: нажатием клавишы ф8? при появлении загрузки строки виндовс..


По F8, до загрузки ОС...

http://support.microsoft.com/kb/315222/ru

----------


## aligator666

с етим уже разобрался...теперь возникает проблема что не хочет впускать в инет...и вообще никаких действий не допускает

----------


## Гриша

А вы доступные коды для разблокирования пробовали уже?

----------


## Luxs

Лечил у клиента на дому, пришлось побегать, т.к. различные вариации с щелканьем мышкой по полям и вводами паролей не помогли, а запомнить все не получилось  :Smiley: ... Как результат - мой опыт для ХР, хотя можно адаптировать и под висту (совместно со статейкой о которой ниже).
Для начала качаем DrWeb liveCD с оф. сайта а также статейку по адресу http://www.cyberforum.ru/security/thread38756.html распечатываем... Больше ничего не потребуется.
Запускаемся на зараженной машинке с liveCD и лечим при этом надо запомнить под каким именем файл был в папке Windows. Перегружаем (в обычном режиме или в режиме отладки) и получаем пустой рабочий стол с ограничениями "от администратора". Жмем пуск - все программы, выбираем любую папку в списке и по правой кнопке мыши на этой папке открываем проводник. Повторяем операцию, чтоб получить второе окно... Идем в одном из окон C:\Windows\System32 и находим cmd.exe во втором C:\Windows\. На файле cmd.exe жмем правую кнопку мыши и удерживая перетягиваем во второе окно, отпускаем, в менюшке выбираем "копировать". Далее в C:\Windows этот фал нужно через меню "файл" переименовать в тот с которым был вирус (lol.exe, или win.exe или то что было у вас, если было другое). Примеч. - если расширение не отображается нужно написать только имя файла... (ну я так понимаю Вы это знаете раз уж взялись лечить...)
Запускаем полученный файл и получаем командную строку, далее по вышеупомянутой статье с пункта 7 со строки "код".... Пункт 13 выполнять не нужно, его уже выполнил DrWeb.
Ну и после перезагрузки когда будет все "ок", не забудьте удалить переименованный cmd.exe из C:\Windows\ (хотя это и не обязательно...)
Всем удачи в борьбе с "заразой" :Smiley:

----------


## sasha1

у меня помойму тут всё хуже всех. вирус тоже скачан с контактов.
 . доступа нету вообще не к чему кроме интернета ито на скачивание нет доступа. диска с вообще нет. папки виндовса тоже. зделала новую учётную запись теперь жопа не вылазит но прошлая учётная запись пропала. как можно при таком случае от этого избавиться?(( или это уже безнадёжно надо виндовс переустанавливать?((

----------


## Postscripter

Старая тема... но всё-таки подниму. На виртуалке вирус сдох от сочетания клавиш win+m (свернуть всё). Причём сначала послушно свернулся, а только потом сдох =)) Держал 5-10 секунд. или может я просто везучий?

Вариант 2 - беспроигрышный для почти всех винлоков. Но действует только если вы не успели перезагрузиться. Когда на экране появляется НЕЧТО, просто жмём reset (чем скорее тем лучше), потом F8, потом -загрузка последней удачной конфигурации. Вирус обезврежен, осталось только вынести труп (стереть само тело)...

----------

