Если при включении компьютера/ноутбука на стадии загрузки BIOS у вас на экране сообщение типа «...Вы посещали порно-сайты и мы Вас заблокировали... Для разблокировки дайте нам денег...», то прочтите эту инструкцию, возможно, проблема решится.
Автор оригинальной статьи: mrbelyash
В этой статье:
- Какие бывают трояны
- Этап 1. Запись образа на диск
- Этап 2. Настроить BIOS
- Этап 3. Загрузка с Dr.Web LiveCD
- Этап 4А. Автоматический сбор логов
- Этап 4B. Делаем дамп mbr (ручной режим)
- Если сеть не работает и браузер не может выйти в интеренет
- Этап 4С. Дамп mbr с помощью TDSSKiller
Текст автора от первого лица.
Какие бывают Trojan.MbrLock
или
Этап 1. Запись образа на диск
Для начала необходимл:
- Скачать CDBurnerXP http://cdburnerxp.se/.
- Скачать Dr.Web Livecd http://www.freedrweb.com/livecd/.
- Прочитать http://www.freedrweb.com/liveusb/how_it_works/.
Просмотреть видео ролик, как это делается
Этап 2. Настроить BIOS
Включите ноутбук.
Нажмите клавишу (F2, Del, Esc (ноутбуки HP), Esc (ноутбуки ASUS — выбор устройства для загрузки, без захода в биос.
Или вот такое:
или вот такое:
или вот такое:
Указываем устройство CD или USB (флешка).
Сохраняем настройки BIOS (как правило, для этого необходимо нажать клавишу F10).
Этап 3. Загрузка с Dr.Web LiveCD
При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы.
Чтобы запустить версию Dr.Web LiveCD с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default).
При загрузке Dr.Web LiveCD в графическом режиме автоматически будет запущен Центр Управления Dr.Web для Linux.
Щелкаем по кнопке Перейти в сканере.
Поставить галочку на Главные загрузочные записи.
Нажать кнопку Начать проверку
После того, как будет найдена угроза, нажимаем кнопку Лечить
Если сканер ничего не смог найти, сворачиваем его или закрываем.
Если Вы неопытный пользователь, то сразу же переходите к этапу 4А. Автоматический сбор логов (рекомендуется всем).
Этап 4А. Автоматический сбор логов
Нажимаем кнопку Пуск
Нажимаем Report Bug
После 1 минуты ожидания закрываем эту почтовую программу.
Теперь можно самостоятельно посмотреть в собраных логах код разблокировки. Для этого закрываем почтовую программу и запускаем Midnaght Commander (он находится на рабочем столе, синенький такой).
В правой панели входим в папку tmp и ищем файл с именем bugreport~tar.gz (или что-то вроде этого).
Два раза щелкаем по нему (входим в архив).
Становимся на файл mbr-sda.bin или mbr-hdc.bin (имена файлов могут быть немного не такими) и нажимаем клавишу F3. Прямо по центру будет код разблокировки.
Этап 4B. Делаем дамп mbr (ручной режим)
В этом разделе описан ручной режим. Если Вам что-то не понятно — прочитайте Этап 4А.
Запускаем терминал
Вводим в терминал команду
cd /tmp
(cd пробел /tmp)
нажать Enter
Если вместо copied будет что-то в виде error, попробуйте ввести
dd if=/dev/sda1 of=./sectors.dmp bs=512 count=127
Если снова ошибка или не создался файл, переходите к этапу 4А. Автоматический сбор логов (ниже по тексту).
Запускаем браузер FireFox.
В адресной строке браузера вводим сайт www.rghost.net
Нажимаем на кнопку Browse (на рисунке под номером 2)
Находим файл, для этого щелкаем на FileSystem
Дважды щелкаем по папке tmp
Выделяем файл sectors.dmp и нажимаем кнопку Open (на рисунке под номером 2)
Далее нажимаем в браузере кнопку Upload
Запомнить ссылку и прислать ее мне на почту mrbelyash@yandex.ru
Если сеть не работает и браузер не может выйти в интеренет
Запускаем Midnaght Commander
В правой панели Midnaght Commander дважды щелкаем по папке tmp
Выделяем файл sectors.dmp и нажимаем F3
Ищем строчку Enter code или Enter code3:
Немного ниже будет набор букв или цифр, их необходимо выписать на бумажку и после перезагрузки попытаться ввести. Например, в данном случае на картинке код разблокировки 117771. Это и есть код разблокировки.
Просмотреть видео ролик, как это делается (немного другой вариант)
Этап 4С. Дамп mbr с помощью TDSSKiller
На чистой машине:
- Скачайте образ Alkid Live CD (или любой другой виндовый лайфсд), запишите образ на болванку. Я Alkid брал на трекере http://rutracker.org/forum/tracker.php (доступен после регистрации).
- Скачайте http://support.kaspersky.ru/faq?qid=208636926 (TDSSkiller), и запишите на флешку.
- Включите в BIOS загрузку с CD.
- Подключите флешку.
- Загрузитесь с созданного диска.
\tdsskiller.exe -qpath c:\log -qmbr.
Я, как правило, распаковываю TDSSKiller на диск С в корневую папку, а потом "Пуск - Выполнить - Обзор" — нахожу его и после дописываю в окошке ключи.
Ищем строчку Enter code: и немного ниже будет код разблокировки. Как видно на этом рисунке, у меня код 7112. Немного ниже будет текст этого мбрлока.
P.S.
Не забываем в темпе пользователя файлик x2z8.exe. Как правило, после разблокировки в темпе пользователя остается его копия (дроппер). Присылаем его мне на почту.
C:\Users\ имя_пользователя \AppData\Local\Temp\x2z8.exe
или
C:\Documents and Settings\имя_пользователя\Local Settings\Temp\x2z8.exe
Для удобного поиска воспользуемся TotalCommander.
P.P.S.
Внимание! Недавно появились новые версии мбрлока (Trojan.MbrLock.33) у которого НЕТ КОДА разблокировки. Но систему все-таки можно вылечить.Читать инструкцию: http://#http://mrbelyash.blogspot.com/2012/05/trojanmbrlock6-drweb-livecd.html
Автор: mrbelyash
0 comments:
Отправить комментарий