WinLock: коди розблокування банерів


Якщо при включенні комп'ютера/ноутбука на стадії завантаження BIOS у вас на екрані повідомлення типу «...Ви відвідували порно-сайти і ми Вас заблокували... Для розблокування дайте нам грошей...», то прочитайте цю інструкцію, можливо, проблема наважиться.

Автор оригінальної статті: mrbelyash

В цій статті:

  1. Які бувають трояни
  2. Етап 1. Запис зображення на диск
  3. Етап 2. Налаштувати BIOS
  4. Етап 3. Завантаження з Dr.Web LiveCD
  5. Етап 4А. Автоматичний збір логів
  6. Етап 4В. Робимо дамп mbr (ручний режим)
  7. Якщо мережа не працює і браузер не може вийти в Інтернет
  8. Етап 4С. Дамп mbr за допомогою TDSSKiller

Текст автора від першої особи.

Які бувають Trojan.MbrLock

або

Етап 1. Запис зображення на диск

Для початку необхідно:

  1. Завантажити CDBurnerXP http://cdburnerxp.se/.
  2. Завантажити Dr.Web Livecd http://www.freedrweb.com/livecd/.
  3. Прочитати http://www.freedrweb.com/liveusb/how_it_works/.

При запуску CDBurnerXP відкривається діалогове вікно Вибір дії, в якому потрібно вибрати Записати ISO образ і натиснути кнопку ОК.

У вікні необхідно вибрати ISO-образ диска, який ви хочете записати.

Після цього відкриється вікно, в якому буде показано прогрес запису диска

Після завершення запису ви зможете користуватися записаним диском на будь-якому комп'ютері з приводом CD/DVD.

Переглянути відео ролик, як це робиться

Етап 2. Налаштувати BIOS

Увімкніть ноутбук.

Натисніть клавішу (F2, Del, Esc (ноутбуки HP), Esc (ноутбуки ASUS) – вибір пристрою для завантаження без заходу в біос.

Або ось таке:

Як правило, унизу пишеться, яку клавішу натиснути (на першому малюнку це F2, а на другому клавіша DEL).

Відкриється вікно програми налаштування системи.

або ось таке:

Переходимо на вкладку Boot за допомогою стрілок на клавіатурі або клавіші TAB (у старих моделях натискаємо ентер Advanced Bios Features). У ноутбуку HP цей пункт знаходиться в System Configuration-Boot Options

або ось таке:

Вказуємо пристрій CD або USB (флешка).

Зберігаємо налаштування BIOS (як правило, для цього потрібно натиснути клавішу F10).

Етап 3. Завантаження з Dr.Web LiveCD

Під час завантаження Dr.Web LiveCD на екран виводиться діалогове вікно, в якому надається можливість вибрати між звичайним та текстовим (advanced mode) режимами запуску програми.

За допомогою стрілок на клавіатурі виберіть потрібний пункт меню та натисніть Enter.

Щоб запустити версію Dr.Web LiveCD із графічним інтерфейсом, виберіть звичайний режим завантаження DrWeb-LiveCD (Default).

Вибираємо цей режим (натискаємо клавішу Enter або чекаємо 10 с для автоматичного запуску).

У разі вибору режиму DrWeb-LiveCD (Default) операційна система автоматично знайде всі наявні розділи жорсткого диска та налаштує підключення до локальної мережі, якщо це можливо.

Під час завантаження Dr.Web LiveCD у графічному режимі автоматично буде запущено Центр Управління Dr.Web для Linux.

Клацаємо кнопкою Перейти в сканері.

Поставити галочку на Головні завантажувальні записи.

Натиснути кнопку Почати перевірку

Після того, як буде знайдено загрозу, натискаємо кнопку Лікувати

Якщо сканер нічого не зміг знайти, повертаємо його або закриваємо.

Якщо Ви недосвідчений користувач, то одразу переходьте до етапу 4А. Автоматичний збір ліг (рекомендується всім).

Етап 4А. Автоматичний збір логів

Натискаємо кнопку Пуск

Натискаємо Report Bug

Чекаємо, поки програма збере логи (Вам нічого не потрібно робити, просто почекати 1 хвилину, поки не з'явиться віконце поштової програми).

Після 1 хвилини очікування закриваємо цю поштову програму.

Тепер можна самостійно подивитися у зібраних логах код розблокування. Для цього закриваємо поштову програму і запускаємо Midnaght Commander (він знаходиться на робочому столі, такий синенький).

У правій панелі входимо в папку tmp і шукаємо файл з ім'ям bugreport~tar.gz (або щось на зразок цього).

Двічі клацаємо по ньому (входимо до архіву).

Стаємо на файл mbr-sda.bin або mbr-hdc.bin (імена файлів можуть бути трохи такими) і натискаємо клавішу F3. Прямо центром буде код розблокування.

Якщо все вийшло, записуємо код розблокування на папірець і перезавантажуємось. Після цього вводимо код і отримуємо робочу машину. Етапи 4B та 4C цієї інструкції ігноруємо.

Етап 4В. Робимо дамп mbr (ручний режим)

У цьому розділі описано ручний режим. Якщо Вам щось не зрозуміло – прочитайте Етап 4А.
Запускаємо термінал

Вводимо до терміналу команду

cd /tmp
(cd пробел /tmp)

натиснути Enter

Вводимо наступну команду

dd if=/dev/sda of=./sectors.dmp bs=512 count=127

натиснути Enter

Если вместо copied будет что-то в виде error, попробуйте ввести

dd if=/dev/sda1 of=./sectors.dmp bs=512 count=127

Если снова ошибка или не создался файл, переходите к этапу 4А. Автоматический сбор логов (ниже по тексту).

Запускаем браузер FireFox.

В адресному рядку браузера вводимо сайт www.rghost.net

Натискаємо кнопку Browse (на малюнку під номером 2)

Знаходимо файл, для цього клацаємо на FileSystem

Двічі клацаємо по папці tmp

Виділяємо файл sectors.dmp та натискаємо кнопку Open (на малюнку під номером 2)

Далі натискаємо у браузері кнопку Upload

Запам'ятати посилання та надіслати його мені на пошту mrbelyash@yandex.ru

Якщо мережа не працює і браузер не може вийти в Інтернет

Запускаємо Midnaght Commander

У правій панелі Midnaght Commander двічі клацаємо по папці tmp

Виділяємо файл sectors.dmp та натискаємо F3

Шукаємо рядок Enter code або Enter code3:

Трохи нижче буде набір букв або цифр, їх необхідно виписати на папірець і після перезавантаження спробувати ввести. Наприклад, у цьому випадку на малюнку код розблокування 117771. Це і є код розблокування.

Переглянути відео ролик, як це робиться (трохи інший варіант)

Етап 4С. Дамп mbr за допомогою TDSSKiller

На чистій машині:
  1. Завантажте образ Alkid Live CD (або будь-який інший віндовий лайфсд), запишіть образ на болванку. Я Alkid брав на трекері http://rutracker.org/forum/tracker.php (доступний після реєстрації).
  2. Завантажте http://support.kaspersky.ru/faq?qid=208636926 (TDSSkiller), та запишіть на флешку.
На проблемній машині:
  1. Увімкніть у BIOS завантаження з CD.
  2. Підключіть флешку.
  3. Завантажтеся зі створеного диска.
  4. Запустіть TDSSkiller таким чином буква флешки:

\tdsskiller.exe -qpath c:\log -qmbr

Я, як правило, розпакую TDSSKiller на диск С в кореневу папку, а потім "Пуск - Виконати - Огляд" - знаходжу його і після дописую в віконці ключі.

Запакуйте папку c:\log з паролем virus і надішліть мені на пошту.

    Можна самостійно переглянути в отриманих логах код розблокування. Для цього нам знадобиться будь-який hex редактор (наприклад, XVI32, WinHex, Hex Workshop, Hiew)

    Шукаємо рядок Enter code: і трохи нижче буде код розблокування. Як видно на цьому малюнку, маю код 7112. Трохи нижче буде текст цього мбрлока.

    P.S.

    Не забуваємо в темпі користувача файлик x2z8.exe. Як правило, після розблокування в темпі користувача залишається копія (дропер). Надсилаємо його мені на пошту.

    C:\Users\ имя_пользователя \AppData\Local\Temp\x2z8.exe

    або

    C:\Documents and Settings\имя_пользователя\Local Settings\Temp\x2z8.exe

    Для зручного пошуку скористаємося TotalCommander.

    P.P.S.

    Увага! Нещодавно з'явилися нові версії мбрлока (Trojan.MbrLock.33), у якого НЕМАЄ КОДА розблокування. Але систему все-таки можна вилікувати.Читати інструкцію:

    Автор: mrbelyash




    Поділитися:

    Чи сподобалася ця публікація? Не пропустіть наступні публікації та почніть стежити за цим блогом.

    0 comments:

    Дописати коментар