WinLock: коды разблокировки баннеров



Если при включении компьютера/ноутбука на стадии загрузки BIOS у вас на экране сообщение типа «...Вы посещали порно-сайты и мы Вас заблокировали... Для разблокировки дайте нам денег...», то прочтите эту инструкцию, возможно, проблема решится.

Автор оригинальной статьи: mrbelyash

В этой статье:

  1. Какие бывают трояны
  2. Этап 1. Запись образа на диск
  3. Этап 2. Настроить BIOS
  4. Этап 3. Загрузка с Dr.Web LiveCD
  5. Этап 4А. Автоматический сбор логов
  6. Этап 4B. Делаем дамп mbr (ручной режим)
  7. Если сеть не работает и браузер не может выйти в интеренет
  8. Этап 4С. Дамп mbr с помощью TDSSKiller

Текст автора от первого лица.

Какие бывают Trojan.MbrLock


или

Этап 1. Запись образа на диск

Для начала необходимл:

  1. Скачать CDBurnerXP http://cdburnerxp.se/.
  2. Скачать Dr.Web Livecd http://www.freedrweb.com/livecd/.
  3. Прочитать http://www.freedrweb.com/liveusb/how_it_works/.
При запуске CDBurnerXP открывается диалоговое окно Выбор действия, в котором нужно выбрать пункт Записать ISO образ и нажать на кнопку ОК.



В открывшимся окне необходимо выбрать ISO-образ диска, который вы хотите записать.


После этого откроется окно, в котором будет показан прогресс записи диска


По завершении записи вы сможете пользоваться записанным диском на любом компьютере с CD/DVD приводом.


Просмотреть видео ролик, как это делается

Этап 2. Настроить BIOS

Включите ноутбук.

Нажмите клавишу (F2, Del, Esc (ноутбуки HP), Esc (ноутбуки ASUS — выбор устройства для загрузки, без захода в биос.




Или вот такое:




Как правило, внизу пишется, какую клавишу нажать (на первом рисунке это F2, а на втором клавиша DEL)

Открывается окно программы настройки системы.



или вот такое:


Переходим на вкладку Boot c помощью стрелок на клавиатуре или клавиши TAB (в старых моделях нажимаем энтер на Advanced Bios Features). В ноутбуке HP этот пункт находится в System Configuration-Boot Options




или вот такое:



Указываем устройство CD или USB (флешка).



Сохраняем настройки BIOS (как правило, для этого необходимо нажать клавишу F10).

Этап 3. Загрузка с Dr.Web LiveCD

При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы.




С помощью стрелок на клавиатуре выберите нужный пункт меню и нажмите Enter.
Чтобы запустить версию Dr.Web LiveCD с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default).
Выбираем этот режим (нажимаем клавишу Enter или ждем 10 сек для автоматического запуска).

В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.


При загрузке Dr.Web LiveCD в графическом режиме автоматически будет запущен Центр Управления Dr.Web для Linux.




Щелкаем по кнопке Перейти в сканере.



Поставить галочку на Главные загрузочные записи.



Нажать кнопку Начать проверку



После того, как будет найдена угроза, нажимаем кнопку Лечить


Если сканер ничего не смог найти, сворачиваем его или закрываем.

Если Вы неопытный пользователь, то сразу же переходите к этапу 4А. Автоматический сбор логов (рекомендуется всем).

Этап 4А. Автоматический сбор логов

Нажимаем кнопку Пуск



Нажимаем Report Bug



Ждем, пока программа соберет логи (Вам ничего не нужно делать, просто подождать 1 минуту пока не появится окошко почтовой программы).


После 1 минуты ожидания закрываем эту почтовую программу.

Теперь можно самостоятельно посмотреть в собраных логах код разблокировки. Для этого закрываем почтовую программу и запускаем Midnaght Commander (он находится на рабочем столе, синенький такой).

В правой панели входим в папку tmp и ищем файл с именем bugreport~tar.gz (или что-то вроде этого).



Два раза щелкаем по нему (входим в архив).

Становимся на файл mbr-sda.bin или mbr-hdc.bin (имена файлов могут быть немного не такими) и нажимаем клавишу F3. Прямо по центру будет код разблокировки.




Если все получилось, записываем код разблокировки на бумажку и перезагружаемся. После вводим код и получаем рабочую машину. Этапы 4B и 4C этой инструкции игнорируем.

Этап 4B. Делаем дамп mbr (ручной режим)

В этом разделе описан ручной режим. Если Вам что-то не понятно — прочитайте Этап 4А.

Запускаем терминал

Вводим в терминал команду

cd /tmp
(cd пробел /tmp)
нажать Enter



Вводим следующую комманду

dd if=/dev/sda of=./sectors.dmp bs=512 count=127
нажать энтер



Если вместо copied будет что-то в виде error, попробуйте ввести

dd if=/dev/sda1 of=./sectors.dmp bs=512 count=127

Если снова ошибка или не создался файл, переходите к этапу 4А. Автоматический сбор логов (ниже по тексту).

Запускаем браузер FireFox.



В адресной строке браузера вводим сайт www.rghost.net

Нажимаем на кнопку Browse (на рисунке под номером 2)

Находим файл, для этого щелкаем на FileSystem

Дважды щелкаем по папке tmp



Выделяем файл sectors.dmp и нажимаем кнопку Open (на рисунке под номером 2)



Далее нажимаем в браузере кнопку Upload



Запомнить ссылку и прислать ее мне на почту mrbelyash@yandex.ru

Если сеть не работает и браузер не может выйти в интеренет

Запускаем Midnaght Commander



В правой панели Midnaght Commander дважды щелкаем по папке tmp



Выделяем файл sectors.dmp и нажимаем F3



Ищем строчку Enter code или Enter code3:


Немного ниже будет набор букв или цифр, их необходимо выписать на бумажку и после перезагрузки попытаться ввести. Например, в данном случае на картинке код разблокировки 117771. Это и есть код разблокировки.

Просмотреть видео ролик, как это делается (немного другой вариант)


Этап 4С. Дамп mbr с помощью TDSSKiller

На чистой машине:

  1. Скачайте образ Alkid Live CD (или любой другой виндовый лайфсд), запишите образ на болванку. Я Alkid брал на трекере http://rutracker.org/forum/tracker.php (доступен после регистрации).
  2. Скачайте http://support.kaspersky.ru/faq?qid=208636926 (TDSSkiller), и запишите на флешку.
На проблемной машине:
  1. Включите в BIOS загрузку с CD.
  2. Подключите флешку.
  3. Загрузитесь с созданного диска.
Запустите TDSSkiller таким образом буква флешки:

\tdsskiller.exe -qpath c:\log -qmbr.

Я, как правило, распаковываю TDSSKiller на диск С в корневую папку, а потом "Пуск - Выполнить - Обзор" — нахожу его и после дописываю в окошке ключи.


  1. Запакуйте папку c:\log с паролем virus и пришлите мне на почту.

Можно самостоятельно посмотреть в полученых логах код разблокировки. Для этого нам понадобится любой hex редактор (например XVI32, WinHex, Hex Workshop, Hiew)


Ищем строчку Enter code: и немного ниже будет код разблокировки. Как видно на этом рисунке, у меня код 7112. Немного ниже будет текст этого мбрлока.



P.S.

Не забываем в темпе пользователя файлик x2z8.exe. Как правило, после разблокировки в темпе пользователя остается его копия (дроппер). Присылаем его мне на почту.

C:\Users\ имя_пользователя \AppData\Local\Temp\x2z8.exe

или

C:\Documents and Settings\имя_пользователя\Local Settings\Temp\x2z8.exe

Для удобного поиска воспользуемся TotalCommander.

P.P.S.

Внимание! Недавно появились новые версии мбрлока (Trojan.MbrLock.33) у которого НЕТ КОДА разблокировки. Но систему все-таки можно вылечить.Читать инструкцию: http://#http://mrbelyash.blogspot.com/2012/05/trojanmbrlock6-drweb-livecd.html



Автор: mrbelyash




Поделиться:

Понравилась эта публикация? Не пропустите следующие публикации и начните следить за этим блогом.

0 comments:

Отправить комментарий