Поиск по этому блогу

среда, 4 января 2012 г.

Trojan.MbrLock достаем код разблокировки.

Внимание!!! 

Если Вам все же удалось подобрать код, то обязательно напишите в этой теме номер телефона и код разблокировки.
Очень прошу присылать копию трояна, которая находится 
C:\Users\ имя_пользователя \AppData\Local\Temp\x2z8.exe
или
C:\Documents and Settings\имя_пользователя\Local Settings\Temp\x2z8.exe
мне на почту  stop-winlock@yandex.ru

В трояне как правило прописано еще 5 номеров телефонов.

----------------------------------------------------------------------


Какие бывают Trojan.MbrLock



или






Этап 1. Запись образа на диск.

1)Скачать  CDBurnerXP http://cdburnerxp.se/

2)Скачать Dr.Web Livecd http://www.freedrweb.com/livecd/

Чтобы записать образ на флешку-прочитать http://www.freedrweb.com/liveusb/how_it_works/

3)Запись образа ISO с помощью программы  CDBurnerXP
     - при запуске CDBurnerXP открывается диалоговое окно Выбор действия, в котором нужно выбрать пункт Записать ISO образ и нажать на кнопку ОК.

 
    - в открывшимся окне необходимо выбрать ISO-образ диска, который вы хотите записать.


    - после этого откроется окно, в котором будет показан прогресс записи диска


   - по завершении записи вы сможете пользоваться записанным диском на любом компьютере с CD/DVD приводом.




Просмотреть видео ролик, как это делается



Этап 2. Настроить BIOS.

1.Включите ноутбук.
2.Нажмите клавишу

F2
Del
Esc (ноутбуки HP)
Esc (ноутбуки ASUS -выбор устройства для загрузки, без захода в биос)

когда в нижней части окна логотипа  появится сообщение "Press F2 for System Utilities" (Нажмите F2 для запуска служебной программы).





или вот такое 


Как правило внизу пишется какую клавишу нажать (на первом рисунке это F2 а на втором клавиша DEL)

3.Открывается окно программы настройки системы.




или вот такое





4.Переходим на вкладку Boot (c помощью стрелок на клавиатуре или клавиши TAB) в старых моделях нажимаем энтер на Advanced Bios Features.


В ноутбуке HP этот пункт находится в System Configuration-Boot Options







или вот такое 




5.Указываем устройство CD или USB(флешка)





6.Сохраняем настройки BIOS (как правило для этого необходимо нажать клавишу F10).





Просмотреть видео ролик, как это делается



или если у вас другой производитель и биос отличается



Этап 3. Загрузка с Dr.Web LiveCD.

1. При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы.



2. С помощью стрелок на клавиатуре выберите нужный пункт меню и нажмите [Enter]:
    -Чтобы запустить версию Dr.Web LiveCD с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default)
Выбираем этот режим(нажимаем клавишу Enter или ждем 10 сек. для автоматического запуска).


3. В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.


4. При загрузке Dr.Web LiveCD в графическом режиме автоматически будет запущен Центр Управления Dr.Web для Linux.



5. Щелкаем по кнопке Перейти в сканере.


6. Поставить галочку на Главные загрузочные записи.

7. Нажать кнопку Начать проверку

8. После того как будет найдена угроза нажимаем кнопку Лечить



Если сканер ничего не смог найти..... Сворачиваем его...или закрываем.

Если Вы не опытный пользователь, то сразу же переходите к пункту .Автоматический сбор логов (рекомендуется всем).



 Этап 4А. Автоматический сбор логов. 

1) Нажимаем кнопку Пуск



2) Нажимаем Report Bug



Ждем пока программа соберет логи (Вам ничего не нужно делать..просто подождать 1 минуту пока не появится окошко почтовой программы).



После 1 минуты ожидания закрываем эту почтовую программу.

Теперь можно самостоятельно посмотреть в собраных логах код разблокировки.

Для этого закрываем почтовую программу и запускаем Midnaght Commander (он находится на рабочем столе..синенький такой).

В правой панели входим в папку tmp и ищем файл с именем bugreport~tar.gz (или что-то вроде этого).



Два раза щелкаем по нему (входим в архив).

Становимся на файл  mbr-sda.bin или mbr-hdc.bin (имена файлов могут быть немного не такими) и нажимаем клавишу F3
Прямо по центру будет код разблокировки.


Эсли все получилось. Записываем код разблокировки на бумажку и перезагружаемся. После вводим код и получаем рабочую машину. Пункты 4B и 4C этой инструкции игнорируем.


Этап 4B. Делаем дамп mbr (ручной режим).

В этом разделе описан ручной режим...Если Вам что-то не понятно-прочитайте Этап 4А


1. Запускаем терминал


2. Вводим в терминал команду

cd /tmp

(cd пробел /tmp)
нажать энтер


3. Вводим следующую комманду

dd if=/dev/sda of=./sectors.dmp bs=512 count=127

нажать энтер


Если вместо copied будет что-то в виде error, попробуйте ввести

dd if=/dev/sda1 of=./sectors.dmp bs=512 count=127

Если снова ошибка или не создался файл-переходите к пункту 4А.Автоматический сбор логов (ниже по тексту).


4. Запускаем браузер FireFox



5. В адресной строке браузера вводим сайт www.rghost.net

 Нажимаем на кнопку Browse (на рисунке под номером 2)

6. Находим файл.Для этого щелкаем на FileSystem


 7. Дважды щелкаем по папке tmp



8. Выделяем файл sectors.dmp и нажимаем кнопку Open (на рисунке под номером 2)


9. Далее нажимаем в браузере кнопку Upload

10. Запомнить ссылку и прислать ее мне на почту mrbelyash@yandex.ru



Если сеть не работает и браузер не может выйти в интеренет....


1) Запускаем Midnaght Commander


2) В правой панели  Midnaght Commander дважды щелкаем по папке tmp



3) Выделяем файл sectors.dmp и нажимаем F3


4) Ищем строчку Enter code или Enter code3:



Немного ниже будет набор букв или цифр...их необходимо выписать на бумажку и после перезагрузки попытаться ввести.
Например в данном случае на картинке код разблокировки 117771

Это и есть код разблокировки.

Просмотреть видео ролик, как это делается (немного другой вариант)







Этап 4С. Дамп mbr с помощью TDSSKiller. 

На чистой машине

1. Скачайте образ Alkid Live CD (или любой другой виндовый лайфсд), запишите образ на болванку. Я Alkid брал на трекере http://rutracker.org/forum/tracker.php 

(доступен после регистрации).

2. Скачайте http://support.kaspersky.ru/faq?qid=208636926 (TDSSkiller), и запишите на флешку.

На проблемной машине

1. Включите в BIOS загрузку с CD.
2. Подключите флешку.
3. Загрузитесь с созданного диска.
4. Запустите TDSSkiller таким образом буква флешки:\tdsskiller.exe -qpath c:\log -qmbr


Я как правило распаковываю TDSSKiller на диск С в корневую папку, а потом
Пуск-Выполнить-Обзор
нахожу его и после дописываю в окошке ключи






5. Запакуйте папку c:\log с паролем virus и пришлите мне на почту.



Можно самостоятельно посмотреть в полученых логах код разблокировки. Для этого нам понадобится любой hex редактор (например XVI32, WinHex, Hex Workshop, Hiew)




Ищем строчку Enter code: и немного ниже будет код разблокировки. Как видно на этом рисунке у меня код 7112

Немного ниже будет текст этого мбрлока






P.S.

Не забываем в темпе пользователя файлик x2z8.exe
Как правило после разблокировки в темпе пользователя остается его копия(дроппер).
Присылаем его мне на почту.

C:\Users\ имя_пользователя \AppData\Local\Temp\x2z8.exe
или
C:\Documents and Settings\имя_пользователя\Local Settings\Temp\x2z8.exe

Для удобного поиска воспользуемся TotalCommander.



P.P.S.

Внимание!!!
Недавно появились новые версии мбрлока (Trojan.MbrLock.33) у которого НЕТ КОДА разблокировки.
Но систему все таки можно вылечить. Читать инструкцию

http://#http://mrbelyash.blogspot.com/2012/05/trojanmbrlock6-drweb-livecd.html


----------------------------------------------------------------------------------------------
Полезные ссылки

LG
HP
Lenovo
ASUS
Trojan.MbrLock.19 кейген - генератор кодов (только для Trojan.MbrLock.19)
Dr.Web UnLocker - поиск кода в базе
Dr.Web попросить код у тех. поддержки

Dr.Web CureIT - бесплатная лечащая утилита
Dr.Web LiveCD - загрузочный диск
Dr.Web LiveUSB  - загрузочная флешка

Kaspersky Deblocker   - поиск кода в базе
Kaspersky Rescue Disk 10 - загрузочный диск
Nod32 Livecd - загрузочный диск
Удалить любой mbrlock, даже без кода разблокировки -инструкция
Отправить комментарий