Жопаринеза версия 2.0

lol.exe
ничем не упакован, писан на delphi
начало процедуры buttonclick
[CODE]CODE:00477CD0 push ebp
CODE:00477CD1 mov ebp, esp
CODE:00477CD3 push 0
CODE:00477CD5 push ebx
CODE:00477CD6 push esi
CODE:00477CD7 mov esi, eax
CODE:00477CD9 mov ebx, offset unk_47BC68
CODE:00477CDE xor eax, eax
CODE:00477CE0 push ebp
CODE:00477CE1 push offset loc_478128
CODE:00477CE6 push dword ptr fs:[eax]
CODE:00477CE9 mov fs:[eax], esp
CODE:00477CEC lea edx, [ebp+var_4]
CODE:00477CEF mov eax, [esi+33Ch]
CODE:00477CF5 call @Controls@TControl@GetText$qqrv ; Controls::TControl::GetText(void)
CODE:00477CFA mov eax, [ebp+var_4]
CODE:00477CFD mov edx, offset _str_667895.Text
CODE:00477D02 call @System@@LStrCmp$qqrv ; System::__linkproc__ LStrCmp(void)
CODE:00477D07 jnz Pass_false
CODE:00477D0D mov eax, offset dword_47BC6C
CODE:00477D12 mov edx, offset _str_System_CurrentC.Text
CODE:00477D17 call @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)[/CODE]
может давно не занимался я этим делом, но
CODE:00477CF5 - берем текст из texbox
00477D02 - сравниваем с текстом 667895
00477D07 - если не совпадает, пишем "пароль не правильный", если совпадает, выполняем ряд действий и пишем "Пароль верный"
что-то слишком просто, ктонить может проверить?

[size="1"][color="#666686"][B][I]Добавлено через 37 минут[/I][/B][/color][/size]

жесть, токашо на виртуалке запустил это файло, появилась заставка с просьбой ввести код, ввел код, камп перезагрузился, после загрузки все нормально заработало, все ограничения пропали.

логи после *опы

заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?

[QUOTE=2+2=5;406290]заразился Жопаринеза ver 1.1.4. !!! дайте советов для новичка как устранить!?[/QUOTE]

[url]http://virusinfo.info/pravila.html[/url]

[QUOTE=Serrrgio;403834]что-то слишком просто, ктонить может проверить? [/QUOTE]
Похоже, что так оно и есть. Но есть предположение, что у каждого нового сэмпла может быть свой код разблокировки.

У каждого нет, в рамках разных версий вполне.

Люди , поймал жопаринеза ver 2.0 , что делать?

Разблокироваться паролем 667895

Здравствуйте, прошу прощения. Не знаю уже, что делать. Облазила весь форум, так и не нашла, как справиться с этим ужасным вирусом.
Сплавили мне ноутбук с этим зловредным вирусом. система Windows XP SP3
В общем-то говоря, с помощью лайвСД удалось мне удалить lol.exe и gopa.exe. просканить с лайвки с помощью avz диски локальные. Нашлись кое-какие трояны - были удалены.
В общем то я теперь могу спокойно заходить в учетку без изображения "пятой точки". НО! Осталась одна нерешаемая для меня проблема. не могу вернуть обратно права администратора. Всё, чтобы я не делала - запрещается. Открыть/удалить какой-либо файл - выдает ошибку об ограничении прав администратором. Создавала другую учетку с правами админа - такая же ерунда.
Через safemode зайти так же не удается, сразу выдает BSOD. Режим отладки тоже мне помочь ничем не может.
Второй вечер я уже шаманю с ноутбуком - ничего в голову не приходит. Может быть подскажите, какие мне манипуляции совершить с этим "шайтан девайсом", чтобы уже наконец-то вернуть права админа?!

:(

[url=http://virusinfo.info/pravila.html]Внимательно прочитать, аккуратно выполнить[/url]

Добавлю свой опыт, может кому и пригодится.
Заразился ПК этой жопой в другом городе. Из средств доступа только РДП, два пользователя (оба админы), НОД32 профукал все... в топку его. Замечено, что заставка с булками выскакивала талько на одном юзере, второй заходил на рабочий стол, но права порезаны... Теперь, как лечить. Есть два варианта, либо с помощью LiveCD (drweb) загрузится и убить сам троян (lol.exe d C:\windows\system32\ и его копии по всем дискам), либо загрузится под другим пользователем (можно попробовать встроенную учетку "Администратор", "Administrator" и т.д. Но!! нужен инет, чтоб закачать drwebCurit и убить червя) главное добраться до рабочего стола.
Если заюзали LiveCD и убили червя, осталось восстановить доступ. Если только зашли под другим юзером тоже нормально (обязательно наличие активного инета).
Итак пустой стол и все запрещено... идем в пуск\панель управления\назначенные задания\ далее кликаем на "Дабавить задание" - "Далее" - "Обзор", вот мы и добрались до C:\windows\. Далее в папке windows ищем "regedit" и выбираем его. назначаем запуск "однократно", время через 2 мин, кликаем "Далее" и "готово". Теперь ждем... Через 2 мин он запустится. И теперь само главное, эта зараза меняет параметры в следующей ветке:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer
Вот в ней и нужно все параметры со значением "1" изменить на "0", и сразу вам станет доступно практически все необходимое. Есть еще там один "двоичный параметр" точно не помню, связан с диском, его я просто удалил.
Если вы уже очистили от жопы все, хорошо. Если нет, тогда идете на сайт веба [URL="http://drweb.com/"][COLOR=#000080]http://drweb.com/[/COLOR][/URL] и качаете "Dr.Web CureIt!®", потом чистите и перегружаетесь.

Проделывалось все вышеописанное через RDP под учетками админа, правда на месте была сообразительная девушка с Dr.Web LiveCD. Хотя если есть инет, можно справиццо в одиночку.

PS. Запустить AVZ или что-то еще невозможно без правки реестра.

[size="1"][color="#666686"][B][I]Добавлено через 36 минут[/I][/B][/color][/size]

2 Naf_Naf

Насколько я понял, права админа он не лешает, просто выставляет ограничения для всех в реестре (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVertsion\Policies\Explorer) . Именно через правку реестра можно вернуть возможность что-то делать, все параметры со значением "1" изменить на "0".

Здравствуйте!!!у меня та же проблема с вирусом,я смогла по вашим рекомендациям удалить lol но переименовать cmd.exe в lol.exe не получается из-за ограничений!подскажите что мне делать!!?

[url]http://virusinfo.info/showpost.php?p=410977&postcount=10[/url]

Значит у меня такая проблема,я ввожу пароль указаный выше (667895) выдаёт -Не правильный пароль! Не зли жопу! - Подскажите что делать!!!!!!

Встретилась с проблемой!!!
Скачала с контакта нов. Adobe Flash Player версии 10.3, запустила и,Поймала вирус, Жопаринеза, перезагрузила комп она не уходит, смс не отправляется.
сделала как предложили:правой кнопкой по белому полю где написан текст смс, затем сочетание клавиш Alt+F4, мне хватило одного раза нажать и окно с жопой закрылось, НО
В пуске у меня отражается: программы
Справка иподдержка
Завершение сеанса Администратор
Выкл. Компьютера.
На раб столе ничего нет.......
При попытке вылезти к проводнику пишет:
"Операция отменена вследствии действующих на компьютере ограничений. Обратитесь к Админестратору сети."

Подскажите как убрать???

как нить по проще, я не понимаю что значит всякие риэстры итп!!!
И ещё вариант предложили антивирусом, но как его запустить на компе который с жопой!!!????

Помогите через 2 дня защита диплома а у меня диплом там.

[size="1"][color="#666686"][B][I]Добавлено через 41 минуту[/I][/B][/color][/size]

Жопаринеза версии 2.0

Тогда выполняйте: [url]http://virusinfo.info/pravila.html[/url]

я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!:(

[QUOTE=Bezkonca;416066]я скачала антивирусы а установить и разархивировать их не могу, говорят нельзя!!!:([/QUOTE]

Попробуйте Dr.Web LiveCD [url]http://www.freedrweb.com/livecd[/url]
Потом в раздел помогите и логи по правилам.
LiveCD писать с чистого компа.

Дайте ссылку мне в личку на приложение в контакте, где скачали новый флэш плейер.

2 [B]SDA[/B]
ничего не получится, там все блокировано

как вариант, набросал прогу которая снимает ограничения unlocker, загрузится с livecd, подменить како-то файл который находится в автозагрузке (например ctfmon.exe) этим файлом, потом вернуть все назад.

в drweb livecd нужно запусить mc, появится аналог Norton Comander (Far), там найти ваш системный диск (обычно диск С), перейти по пути[CODE]c:\windows\system32[/CODE]
найти файл [B]ctfmon.exe[/B] его переименовать (shift+F6 вроде) в [B]ctfmon1.exe[/B], а [B]unlocker.exe[/B], предварительно записаный на флеш или другой носитель, в [B]ctfnom.exe [/B]в тойже папке и перезагрузить камп.
после перезагрузки должно появится окно программы unlocker с 2 кнопками (если его не видно из-за зловреда пробывать нажать alt+tab), в программе нажать [B]unlock & reboot[/B], камп перезагрузится, после этого ограничения должны пропасть (надеюсь), переименовать назад файл [B]ctfmon1.exe[/B] в [B]ctfmon.exe[/B] (перед этим удалить unlocker с именем [B]ctfnom.exe[/B]) и перезагрузить камп. Ну и потом логи по правилам для зачистки.

можно подменить любой другой файл из автозагрузки, надеюсь Хелперы раскажут подробно как это сделать.

Люди добрые, помогите пожалуйста. Воспользовался методом удаления Жопаринезы ver 2. 0 по ссылке [URL]http://test.internet.natm.ru/Статьи/windows/gopa-kill.html[/URL]
У меня стоит Vista и я сделал все по плану, НО в пункте №9 я удалил строку реестра, не посмотрев в значение! То есть я не знаю адрес, где расположен троян. Помогите пожалуйста- погибаю...

Гадалки на другом форуме... Попробуйте CureIt, может, он знает эту разновидность.

К сожалению, я не могу установить антвирус, троян заблокировал права администратора... Как мне им воспользоваться?

Выполняйте инструкцию далее.

Выполнил, но на рабочем столе все-равно ничего нет, все программы заблокированы вирусом...

[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]

Единственное, что работает- так это IExplorer

Ребята, помогите! Вчера в контакте словила вирус Жапаринеза вер.2.1 подскажите как избавиться от него, кроме как винду переустановить.... Заранее большое спасибо!
ЗЫ. Кстати вчера пробовала пароли вводить и отправить+через ф4 пробовала, но вообще ничего не помогает.

Где конкретно словили?

вот бы заполучить этот "экземпляр", не вспомните ссылку по какой скачали этот файл?

можно загрузится с любого LiveCD, поискать и скопировать на любой носитель (flash) файл который скачали или поискать c:\windows\lol.exe
и передать его хелперам, ну и если это возможно мне, для исследования :) (выложить на любой файлообменник под паролем)

Пароли для разблокировки: [QUOTE]
923845
667895
285522[/QUOTE]
Подробная инструкция по лечению [url]http://www.cyberforum.ru/security/thread38756.html[/url]

[QUOTE=Igorpilot2000;420636]
Единственное, что работает- так это IExplorer[/QUOTE]
Ну так через него и запустить полиморфную версию avz(File->Open ...browse ),которую можно найти у меня в подписи и сделать логи.Логи разметить в разделе "Помогите."

Как сделать логи- подскажите! Права администратора заблокированы( Ни одну программу мне не удается открыть. Я в IE захожу так Пуск->Все программы(правый клик)->Проводник->Рабочий стол->IE ! !

Igorpilot2000, вот Вы в IE переходите по ссылке [url]http://rapidshare.com/files/240879548/Special_avz.zip[/url]
У Вас не получается открыть этот файл?

Да, не получается!

[QUOTE=Alex_Goodwin;420724]Пароли для разблокировки:
Подробная инструкция по лечению [url]http://www.cyberforum.ru/security/thread38756.html[/url][/QUOTE]

Эти пароли не подходят, я вчера уже их вводила.
Словила в контакте, хотела приложение посмотреть, но там сообщение было, что нужно плеер 10 скачать. Качнула, начала устанавливать. Сначала пропала строка пуск. Решила перезагрузить. А там Жопа>:(

[QUOTE=Igorpilot2000;420800]Да, не получается![/QUOTE]

[URL="http://www.drpbk.dp.ua/cure/mf/game.pif"]А эту версию?[/URL]

[QUOTE=Alex_Goodwin;420724][url]http://www.cyberforum.ru/security/thread38756.html[/url][/QUOTE]
вот на этом сайте говориться, что нужно правой кнопкой нажать и бла-бла-бла. Но пачиму та когда я нажимаю правой кнопкой,то у меня вообще ничего не происходит. а когда нажимаю ctrl+esc у меня просто заставка сворачивается и разворачивается снова. через ф8 пробовала: выбираю безопасный режим, но комп перезагружается и опять заходит в меню выбора загрузок. вообщем ничего не могу сделать. доступа к компу вообще нет:O

[QUOTE=natik_krsk;420832]через ф8 пробовала: выбираю безопасный режим, [/QUOTE]
Там сказано: [QUOTE]Для версии 2.1:
Произведите загрузку в режиме: "[B]Восстановление службы каталогов <только на контроллере домена Windows>[/B]" Переходите к пункту №3

2. Нажмите сочетание клавиш Alt+F4 (2-3 раза). Окно должно закрыться.

3. Нажмите сочетание клавиш Ctrl+Esc, чтобы появилось меню "Пуск"[/QUOTE]
Если удастся запустить Internet Explorer - можно обратиться в "Помогите", выполняя правила [URL="http://www.drpbk.dp.ua/cure/mf/game.pif"]этой версией AZV[/URL]

Скачал, не запускает, требует права админа((

Для версии 2.1:
Произведите загрузку в режиме: "Восстановление службы каталогов <только на контроллере домена Windows>" Переходите к пункту №3

Через ф8 нет этой загрузки, покрайней мере у меня. Может я канечно, что-то не так делаю.

[B]Igorpilot2000[/B]
можно попробывать так:
посмотрите какой файл у вас есть C:\WINDOWS\lol.exe или C:\WINDOWS\win.exe
скопируйте его в другое место, из папки C:\WINDOWS удалите, переименуйте скачанный game.pif в lol.exe или win.exe и положите его в папку C:\WINDOWS
[QUOTE]У меня стоит Vista и я сделал все по плану, НО в пункте №9 я удалил строку реестра, не посмотрев в значение! [/QUOTE]
теперь заново создайте запись в реестре для автозапуска с именем " " (пробел) и значением C:\WINDOWS\lol.exe или C:\WINDOWS\win.exe
перезагрузите камп, должен загрузится AVZ, дальше по правилам.