Жопаринеза версия 2.0

lol.exe
ничем не упакован, писан на delphi
начало процедуры buttonclick
[CODE]CODE:00477CD0 push ebp
CODE:00477CD1 mov ebp, esp
CODE:00477CD3 push 0
CODE:00477CD5 push ebx
CODE:00477CD6 push esi
CODE:00477CD7 mov esi, eax
CODE:00477CD9 mov ebx, offset unk_47BC68
CODE:00477CDE xor eax, eax
CODE:00477CE0 push ebp
CODE:00477CE1 push offset loc_478128
CODE:00477CE6 push dword ptr fs:[eax]
CODE:00477CE9 mov fs:[eax], esp
CODE:00477CEC lea edx, [ebp+var_4]
CODE:00477CEF mov eax, [esi+33Ch]
CODE:00477CF5 call @Controls@TControl@GetText$qqrv ; Controls::TControl::GetText(void)
CODE:00477CFA mov eax, [ebp+var_4]
CODE:00477CFD mov edx, offset _str_667895.Text
CODE:00477D02 call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00477D07 jnz Pass_false
CODE:00477D0D mov eax, offset dword_47BC6C
CODE:00477D12 mov edx, offset _str_System_CurrentC.Text
CODE:00477D17 call @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)[/CODE]
может давно не занимался я этим делом, но
CODE:00477CF5 - берем текст из texbox
00477D02 - сравниваем с текстом 667895
00477D07 - если не совпадает, пишем "пароль не правильный", если совпадает, выполняем ряд действий и пишем "Пароль верный"
что-то слишком просто, ктонить может проверить?

[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]

жесть, токашо на виртуалке запустил это файло, появилась заставка с просьбой ввести код, ввел код, камп перезагрузился, после загрузки все нормально заработало, все ограничения пропали.

логи после *опы

заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?

[QUOTE=2+2=5;406290]заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?[/QUOTE]

[url]http://virusinfo.info/pravila.html[/url]

[QUOTE=Serrrgio;403834]что-то слишком просто, ктонить может проверить? [/QUOTE]
Похоже, что так оно и есть. Но есть предположение, что у каждого нового сэмпла может быть свой код разблокировки.

У каждого нет, в рамках разных версий вполне.

Люди , поймал жопаринеза ver 2.0 , что делать?

Разблокироваться паролем 667895

Здравствуйте, прошу прощения. Не знаю уже, что делать. Облазила весь форум, так и не нашла, как справиться с этим ужасным вирусом.
Сплавили мне ноутбук с этим зловредным вирусом. система Windows XP SP3
В общем-то говоря, с помощью лайвСД удалось мне удалить lol.exe и gopa.exe. просканить с лайвки с помощью avz диски локальные. Нашлись кое-какие трояны - были удалены.
В общем то я теперь могу спокойно заходить в учетку без изображения "пятой точки". НО! Осталась одна нерешаемая для меня проблема. не могу вернуть обратно права администратора. Всё, чтобы я не делала - запрещается. Открыть/удалить какой-либо файл - выдает ошибку об ограничении прав администратором. Создавала другую учетку с правами админа - такая же ерунда.
Через safemode зайти так же не удается, сразу выдает BSOD. Режим отладки тоже мне помочь ничем не может.
Второй вечер я уже шаманю с ноутбуком - ничего в голову не приходит. Может быть подскажите, какие мне манипуляции совершить с этим "шайтан девайсом", чтобы уже наконец-то вернуть права админа?!

:(

[url=http://virusinfo.info/pravila.html]Внимательно прочитать, аккуратно выполнить[/url]

Добавлю свой опыт, может кому и пригодится.
Заразился ПК этой жопой в другом городе. Из средств доступа только РДП, два пользователя (оба админы), НОД32 профукал все... в топку его. Замечено, что заставка с булками выскакивала талько на одном юзере, второй заходил на рабочий стол, но права порезаны... Теперь, как лечить. Есть два варианта, либо с помощью LiveCD (drweb) загрузится и убить сам троян (lol.exe d C:\windows\system32\ и его копии по всем дискам), либо загрузится под другим пользователем (можно попробовать встроенную учетку "Администратор", "Administrator" и т.д. Но!! нужен инет, чтоб закачать drwebCurit и убить червя) главное добраться до рабочего стола.
Если заюзали LiveCD и убили червя, осталось восстановить доступ. Если только зашли под другим юзером тоже нормально (обязательно наличие активного инета).
Итак пустой стол и все запрещено... идем в пуск\панель управления\назначенные задания\ далее кликаем на "Дабавить задание" - "Далее" - "Обзор", вот мы и добрались до C:\windows\. Далее в папке windows ищем "regedit" и выбираем его. назначаем запуск "однократно", время через 2 мин, кликаем "Далее" и "готово". Теперь ждем... Через 2 мин он запустится. И теперь само главное, эта зараза меняет параметры в следующей ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer
Вот в ней и нужно все параметры со значением "1" изменить на "0", и сразу вам станет доступно практически все необходимое. Есть еще там один "двоичный параметр" точно не помню, связан с диском, его я просто удалил.
Если вы уже очистили от жопы все, хорошо. Если нет, тогда идете на сайт веба [URL="http://drweb.com/"][COLOR=#000080]http://drweb.com/[/COLOR][/URL] и качаете "Dr.Web CureIt!®", потом чистите и перегружаетесь.

Проделывалось все вышеописанное через RDP под учетками админа, правда на месте была сообразительная девушка с Dr.Web LiveCD. Хотя если есть инет, можно справиццо в одиночку.

PS. Запустить AVZ или что-то еще невозможно без правки реестра.

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

2 Naf_Naf

Насколько я понял, права админа он не лешает, просто выставляет ограничения для всех в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer) . Именно через правку реестра можно вернуть возможность что-то делать, все параметры со значением "1" изменить на "0".

Здравствуйте!!!у меня та же проблема с вирусом,я смогла по вашим рекомендациям удалить lol но переименовать cmd.exe в lol.exe не получается из-за ограничений!подскажите что мне делать!!?

[url]http://virusinfo.info/showpost.php?p=410977&postcount=10[/url]

Значит у меня такая проблема,я ввожу пароль указаный выше (667895) выдаёт -Не правильный пароль! Не зли жопу! - Подскажите что делать!!!!!!

Встретилась с проблемой!!!
Скачала с контакта нов. Adobe Flash Player версии 10.3, запустила и,Поймала вирус, Жопаринеза, перезагрузила комп она не уходит, смс не отправляется.
сделала как предложили:правой кнопкой по белому полю где написан текст смс, затем сочетание клавиш Alt+F4, мне хватило одного раза нажать и окно с жопой закрылось, НО
В пуске у меня отражается: программы
Справка иподдержка
Завершение сеанса Администратор
Выкл. Компьютера.
На раб столе ничего нет.......
При попытке вылезти к проводнику пишет:
"Операция отменена вследствии действующих на компьютере ограничений. Обратитесь к Админестратору сети."

Подскажите как убрать???

как нить по проще, я не понимаю что значит всякие риэстры итп!!!
И ещё вариант предложили антивирусом, но как его запустить на компе который с жопой!!!????

Помогите через 2 дня защита диплома а у меня диплом там.

[size="1"][color="#666686"][B][I]Добавлено через 41 минуту[/I][/B][/color][/size]

Жопаринеза версии 2.0

Тогда выполняйте: [url]http://virusinfo.info/pravila.html[/url]

я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!:(

[QUOTE=Bezkonca;416066]я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!:([/QUOTE]

Попробуйте Dr.Web LiveCD [url]http://www.freedrweb.com/livecd[/url]
Потом в раздел помогите и логи по правилам.
LiveCD писать с чистого компа.

Дайте ссылку мне в личку на приложение в контакте, где скачали новый флэш плейер.

2 [B]SDA[/B]
ничего не получится, там все блокировано

как вариант, набросал прогу которая снимает ограничения unlocker, загрузится с livecd, подменить како-то файл который находится в автозагрузке (например ctfmon.exe) этим файлом, потом вернуть все назад.

в drweb livecd нужно запусить mc, появится аналог Norton Comander (Far), там найти ваш системный диск (обычно диск С), перейти по пути[CODE]c:\windows\system32[/CODE]
найти файл [B]ctfmon.exe[/B] его переименовать (shift+F6 вроде) в [B]ctfmon1.exe[/B], а [B]unlocker.exe[/B], предварительно записаный на флеш или другой носитель, в [B]ctfnom.exe [/B]в тойже папке и перезагрузить камп.
после перезагрузки должно появится окно программы unlocker с 2 кнопками (если его не видно из-за зловреда пробывать нажать alt+tab), в программе нажать [B]unlock & reboot[/B], камп перезагрузится, после этого ограничения должны пропасть (надеюсь), переименовать назад файл [B]ctfmon1.exe[/B] в [B]ctfmon.exe[/B] (перед этим удалить unlocker с именем [B]ctfnom.exe[/B]) и перезагрузить камп. Ну и потом логи по правилам для зачистки.

можно подменить любой другой файл из автозагрузки, надеюсь Хелперы раскажут подробно как это сделать.