Поиск по этому блогу

пятница, 11 мая 2012 г.

Удаляем Trojan.MbrLock.6 вручную с помощью Dr.Web LiveCD

Внимание, идите читать вот эту статью (там написано как разблокировать систему).

http://mrbelyash.blogspot.com/2012/01/temp.html

И только если там ничего не получится, только после этого читайте эту статью.

Все ниже написанное-это уже самый последний вариант, когда терять уже нечего и ничего не получается(и очень опасный).

-------------------------------------------------------------------------------------------------------

Появилась новая версия мбрлока c  кодом разблокировки из 8 символов с кодом 07.Да вот только в коде mbrlock'а любой символ, вне диапазона 20h-7eh является не корректным.
Поэтому даже если попытаться с альтом ввести код-все равно машина не будет разблокирована.




На другом компе скачиваем свежую версию Dr.Web LiveCD http://www.freedrweb.com/livecd/
или для флешки http://www.freedrweb.com/liveusb

Этап 1. Запись образа на CD/DVD диск



1)Скачать  CDBurnerXP http://cdburnerxp.se/

2)Скачать Dr.Web Livecd http://www.freedrweb.com/livecd/

Чтобы записать образ на флешку-прочитать http://www.freedrweb.com/liveusb/how_it_works/

3)Запись образа ISO с помощью программы  CDBurnerXP
     - при запуске CDBurnerXP открывается диалоговое окно Выбор действия, в котором нужно выбрать пункт Записать ISO образ и нажать на кнопку ОК.

 
    - в открывшимся окне необходимо выбрать ISO-образ диска, который вы хотите записать.


    - после этого откроется окно, в котором будет показан прогресс записи диска


   - по завершении записи вы сможете пользоваться записанным диском на любом компьютере с CD/DVD приводом.


Просмотреть видео ролик, как это делается



Этап 2. Настроить BIOS.

1.Включите ноутбук.
2.Нажмите клавишу

F2
Del
Esc (ноутбуки HP)
Esc (ноутбуки ASUS -выбор устройства для загрузки, без захода в биос)

когда в нижней части окна логотипа  появится сообщение "Press F2 for System Utilities" (Нажмите F2 для запуска служебной программы).





или вот такое 


Как правило внизу пишется какую клавишу нажать (на первом рисунке это F2 а на втором клавиша DEL)

3.Открывается окно программы настройки системы.



или вот такое





4.Переходим на вкладку Boot (c помощью стрелок на клавиатуре или клавиши TAB) в старых моделях нажимаем энтер на Advanced Bios Features.


В ноутбуке HP этот пункт находится в System Configuration-Boot Options





или вот такое 



5.Указываем устройство CD или USB(флешка)




6.Сохраняем настройки BIOS (как правило для этого необходимо нажать клавишу F10).




Просмотреть видео ролик, как это делается


или если у вас другой производитель и биос отличается



Этап 3. Загрузка с Dr.Web LiveCD.

1. При загрузке Dr.Web LiveCD на экран выводится диалоговое окно, в котором предоставляется возможность выбрать между обычным и текстовым (advanced mode) режимами запуска программы.



2. С помощью стрелок на клавиатуре выберите нужный пункт меню и нажмите [Enter]:
    -Чтобы запустить версию Dr.Web LiveCD с графическим интерфейсом, выберите обычный режим загрузки DrWeb-LiveCD (Default)
Выбираем этот режим(нажимаем клавишу Enter или ждем 10 сек. для автоматического запуска).


3. В случае выбора режима DrWeb-LiveCD (Default) операционная система автоматически найдет все имеющиеся разделы жесткого диска и настроит подключение к локальной сети, если это возможно.


4. При загрузке Dr.Web LiveCD в графическом режиме автоматически будет запущен Центр Управления Dr.Web для Linux.



Но он нам пока не нужен. Сворачиваем его...или закрываем.

5. Запускаем Midnaght Commander и в правой вкладке ищем папку mnt

И входим в нее



6) Внутри должна быть папка disk
Входим и в эту папку



7) Теперь внимательно смотрим и запоминаем название папок. У вас может быть sda

Это важно.


Как видно на фото у меня это sda

8) Закрываем  Midnaght Commander и запускаем Terminal


9) В появившемся окошке вводим

dd if=/dev/sda of=$HOME/good.dmp bs=512 count=1 skip=1


Вводить нужно внимательно со всеми пробелами и наклонными черточками как написано у меня.

После ввода нажать клавишу Enter
Если все введено правильно, то будет написано
1+0 records in
1+0 records out
512 bytes (512B) copied

10) Вводим новую команду

 dd if=$HOME/good.dmp of=/dev/sda bs=512 count=1 seek=0 conv=notrunc,noerror

Обратите внимание это все одна строка, без переносов. После ее ввода нажимаем Enter



11) Закрываем терминал
12) Нажимаем Пуск-Shutdown & Eject


13) Дожидаемся выключения машины.
14) После перезагрузки достаем диск из лотка и получаем вполне работоспособную машину.

Все вопросы на почту mrbelyash@yandex.ru

99 комментариев:

Анонимный комментирует...

получилось!! Разблокировано. Но прошу обратить внимание, что в командной строке dd if=$HOME/good.dmp of=/dev/sda1 bs=512 count=1 seek=0 conv=notrunc,noerror
перед надписью noerror надо ставить запятую, а не точку. На разных мониторах просто по разному отображается. Большое спасибо

Unknown комментирует...

присмотритесь..там запятая

Анонимный комментирует...

Большое спасибо, очень помогло

Анонимный комментирует...

Большое спасибо!!! Реально помогло, что я только не пробывал!!!
Респект и уважение!!!

Анонимный комментирует...

Огроменное спасибо!!!!!!!! ОЧЕНЬ ВЫРУЧИЛО)))

Анонимный комментирует...

а почему у меня не графическое я все текстом ввожу, хотя я все делал как тут?? сука это гейпорно 380971220356 где код разблокировки найти??

Анонимный комментирует...

Спасибо огромное!Действительно очень доходчивая и эффективная статья даже для чайников))

Анонимный комментирует...

Спасибо. Появлялся экран с требованием ввести код сразу, до загрузки win7. Нажатие на F8 не срабатывало. Требование оплатить 700грн на номер кошелька 380919546820

Анонимный комментирует...

спасибо! ноги по вырывать тому кто эту хрень вирусную пишет!

Анонимный комментирует...

Вчера пытался провести данную процедуру, но к сожалению ничег оен получилось.
Может проблема в том что у меня есть сразу две папки и sda и sda1?

Незнаю в чем может быть причина....я сперва проделал шаги для sda(ну ввел два разных кода), а потом сразу же для sda1. Соответственно меняя sda на sda1. Выводило все корректно как и написан ов инструкции, но все впустую.

И еще одно, при проверке антивирусом оно находит вирусы, но лечить их не может, пишет нет доступа и это системные файлы.

Подскажите что делать.
С ув.

Unknown комментирует...

с sda нужно было делать

Анонимный комментирует...

так а sda1 вообще не трогать?
у меня просто одновременно и та и та есть папки.

Я сделал сначала все необходимое для sda , а потом то же для sda1.

не пойму в чем трабл...

Unknown комментирует...

посмотрите для начала может есть код

http://mrbelyash.blogspot.com/2012/01/temp.html

-----------
скорей всего вы что то не так делаете. может слеш не в ту сторону или лишний пробел

Анонимный комментирует...

если нет /sda , /sda1... только /hdc, что делать?
номер кошелька 380971788292. смотрю отчет веба (reportbug) там нет кода, одни точки

Анонимный комментирует...

Респект!!!!помогли очень

Анонимный комментирует...

В компе два HDD диска на них две операционки ХР и 7, обоих заблокировал этот вирус. На первом диске есть папки sda и sda1, на втором sda, sdb, sdb1. Сделала всё по статье, как для sda - не помогло, помогите с проблемой. Хотела переустановить виндовс, видит весь диск одним не занятым разделом - ужас!

Анонимный комментирует...

А ааааа благодарочка очень большая!!! Спасибо за то что вы есть

Анонимный комментирует...

Большое спасибо!!!

Zhelezjaka комментирует...

Огромное спасибо! Принесли сегодня знакомые системник - жертву отроческого любопытства и полового созревания с этим дерьмом на борту (просил 950 гривен на номер 380981242829). Перезаписать mbr средствами винды не удалось, а вот сия статья помогла.

asp комментирует...

Спасибо!Заработало!

Анонимный комментирует...

если нет /sda , /sda1... только /hdc, что делать?

Unknown комментирует...

задайте этот вопрос здесь https://support.drweb.com/new/free_unlocker/?lng=ru

описав ситуацию

Анонимный комментирует...

Всё шло отлично до 10 пункта. После ввода dd if=$HOME/good.dmp of=/dev/sda bs=512 count=1 seek=0 conv=notrunc,noerror появилась строчка dd: opening /root/good.bmp : No such file or directory То есть не соответствует тем надписям, что у вас в скринах. Что делать? Помогите. Вот ссылка на форум, созданный мною http://forum.kaspersky.com/index.php?showtopic=235815#

Анонимный комментирует...

Спасибо. Все получилось благодаря Вашей инструкции. В моем случае, при потороченой файловой системе, было название раздела не SDA, а SDB. Путем подстановки нужного, я добился разлочивания этого винчестера и сохранения всей инфы на нём!

Анонимный комментирует...

Огромное спасибо!Все получилось благодаря Вашей инструкции.

Анонимный комментирует...

БОЛЬШОЕ СПАСИБО! Помогло. Номер кошелька был 380689358976 на суму 840 грн. Использовал Ваш метод, потому что, вирус блокирнул все логические разделы диска,в Acronis или Partition Magic не было видно файловой системы.А раньше помогал Kaspersky Rescue Disk 10, а в этом случае не было разделов для сканирования на вирусы, мутирует зараза ))....

Анонимный комментирует...

ВОт и у меня нет разделов для проверки и ничего вообще не видит.. даже не знаю что уже делать..

Анонимный комментирует...

СПАСИБО просто огроменное! Реально помогло. Никакие коменты с инета ничего не давали. F8- глухо. Кодов в базах нет. Тем более что этот гад ни смс не просил, ни номера телефона не давал, а тупо не давал винде грузиться. Причём вставленный мультизагрузочный диск иногда проскакивал и загружался но ни одна программа не видела локальные диски - тупо размер диска с:/ равнялся 0. Так что ещё раз большое душевное спасибо.

Анонимный комментирует...

Помогло! Большое спасибо!

YurecTheBest комментирует...

Если есть и /sda и /sda1 - то проделывать все эти "махинации" с /sda.И всё будет в шоколаде)

Автору зачёт,респект и ОГРОМНОЕ СПАСИБО!Очень помог)

Анонимный комментирует...

Большое спасибо автору, поднялось уже 3 машины

Анонимный комментирует...

Помогите не хочет работать графический режим пишет фатал эрор потом опять переходит в режим выбора(Start menu)из-за этого нет ничего на зелёном рабочем столе вообще ни одной иконки и нужного Terminal.С флешки не хочет работать имею аж две флешки тоже писала ошибку ,записал на болванку завелась а на столе ни чего как и говорил:(

Анонимный комментирует...

YurecTheBest
не помогло есть и /sda и /sda1 все делал строго по инструкции??

Анонимный комментирует...

привет всем подхватил вимагатель с номером380919262952 што сделать как розблокировать подскажите эсли кто стричал такую проблему буду очень благодарен

Анонимный комментирует...

все супер работает

Анонимный комментирует...

у укаво била проблема з кодом до ируса з номером380919262952 подскажите што делать

Анонимный комментирует...

Ребят помогите номер телефона 380971829634 900 грн! Заранее спасибо!

Анонимный комментирует...

Доброго времени суток! У меня проблема: словил вирус-баннер на рабочем столе, требующий пополнить счёт моб. тел. Пытался вылечиться с помощью вашего LiveCD по инструкции с этой страницы.
В терминале я ввёл:
dd if=/dev/sda of=$HOME/good.dmp bs=512 count=1 skip=1 и нажал ENTER, потом я ввёл:
dd if=$HOME/good.dmp of=/dev/sda bs=512 count=1 seek=0 conv=notrunc,noerror и мне высветилось No such file or directory
Далее, после перезагрузки, комп не загрузил мою ОС и попросил вставить загрузочное устройство. После этого через LiveCD я вновь ввёл тот же текст, но заменив при этом sda на sda1( поскольку в папке /mnt/disk было кроме sda ещё и sda1, sda2, sda5 - перепробовал все варианты). Винда всё так же не грузилась, но! Исчезло всё содержимое этих sda-шных папок, а также папки /win, а LiveCD не видит, что сканировать!! Не мог же я всё удалить? Что мне делать, помогите пжл.

Unknown комментирует...

После первого ввода что было написано?

Анонимный комментирует...

у меня хрень такая для кошеля Z310976124603 просит 15 баков, просмотрел, вроде код Cflja|j ввожу, бан остается, у меня MBRlock6, может ли быть, что без кода, сидюк не пашет (может блокирован) делаю через флэшку

Анонимный комментирует...

Здравствуйте! у меня с SDA таже фигня, у меня и СДА1 и 2,3,4,5 сделал, как указано с СДА (без цифры) написано было все так же. теперь диск С пустой, загрузить винду не могу, через Midnight Commander видит только диск С: и диск D причем диск Д это флешка, неужели с компа все стерлось? сидюк не видит и пишет, что операционная система не найдена, чего делать? неужели вся инфа с диска Д слетела?

Unknown комментирует...

а можете с виндового лайфсд загрузиться и запустить Dr.Web CureIT 7

Анонимный комментирует...

у меня св-rom вообще не видит и не работает. с другой стороны я могу Вам сбросить файл @bug с расширением GZ или как там его (вернее все файлы которые в нем, так как пришлось переименовывать папку) из папки tmp в корневом каталоге, а вы глянете

Unknown комментирует...

бросайте файлик

Анонимный комментирует...

кинул на почту

Анонимный комментирует...

спасибо большое!очень помогло!

Анонимный комментирует...

Та же проблема, все прошло хорошо, НО винда не загружается!!! блин, неужели они таки удалили все данные с винтов ((((

Анонимный комментирует...

Спасибо, помогло. Обычно переустанавливал систему. Здоровья, удачи и денег в придачу...
:)

Анонимный комментирует...

ОГРОМНОЕ СПАСИБО!!! очень помогло, думаю что способ подходит к любой версии МБРлокера.

Анонимный комментирует...

Огромное СПАСИБО!!! и огромный респект автору!!!
У клиента была важные данные, как водится без бекапа.
Перепробовал ВСЕ!
Кошель 380689360387 просил 900грн. Сообщил в арбитраж WebMoney, должны закрыть.
Уже приготовился огорчять, это была последняя попытка перед форматированием. И о Чудо!
Блокеры сильно развиваются, и это огорчает. Страшно подумать что будет дальше: низкоуровненове затирание файловой системы за 500у.е.
Почему антивирусы молчат? неужели так трудно проследить запись в МБР и закрыть Winlogon в реестре? Я подозреваю что в создании блокеров участвуют антивирусные компании.

Unknown комментирует...

У Dr.Web есть блокировка низкоуровневой записи.

Просто об этой настройке не все знают

Romavend комментирует...

Просто в настройки надо было смотреть.
У касперов есть инструкция,как не дать локерам в winlogon записаться.
Хотя сейчас блокер ветку /run используют.
Надо было глазки разувать

Анонимный комментирует...

код активации 42341678 для веб мани номер 380971566541

Сергей комментирует...

Cпасибо большое! Описанный способ с флешкой Dr.Web LiveCD помог.

Unknown комментирует...

Спасибо! все работает :)

Анонимный комментирует...

Супер-СПАСИБО, вся та интернетовская хрень в бестолку пудрила мозги, а тут человек РЕАЛЬНО помог. СПАСИБО ОГРОМНОЕ!!! Побольше бы таких людей и поменьше уродов, которые эту блокер-хрень делают.

Анонимный комментирует...

Делаю все как написано.. Комп перезагружается начинает грузиться и выдает ошибку CD-DVD Boot divice Failure. Insert CD-DvD to press Enter

Анонимный комментирует...

И у меня похожая заморочка.После завершения работы Dr.Web LiveCD комп сам не перегрузился..пришлось выключить принудительно. И теперь , при включении на чёрном экране пишет:
Err2Err3No bootable device -- insert boot disk and press any key
Подскажите пожалуйста, что делать?

Unknown комментирует...

взять установочный диск и в рековери моде fixmbr

Анонимный комментирует...

Все помогло, спасибо автору.

Анонимный комментирует...

Помогло!!! Спасибо огромное! 380971724831 требовал 850 гривен

Анонимный комментирует...

Благодарю за краткое квалифицированное руководство по реанимации машины. Все ожило!

Анонимный комментирует...

mrbelyash ты просто супер, всё помогло спасибо тебе большое.))

Анонимный комментирует...

Ни кому еще не попадался код по номеру 380689360341... уже второй день жду где-то код, но видимо не мой случай???

Анонимный комментирует...

Спасибо большое всё работает, автору большой +, если бы не вы не знали чтобы делать.

Анонимный комментирует...

Заработала! Но непонял зачем нужно выполнять пункт 5

Анонимный комментирует...

Поборол по инструкции такой:
Идентифицирующий его (по сообщению) номер мобилки 380689360419
По отчету, с помощью drweb-livecd, в дампе, код разблокировки 50404555
Спасибо

Анонимный комментирует...

Дошол до 3 етапа, 3 пункт. Др. Веб сначало норм грузиться а потом черный екран. Что делать?

Анонимный комментирует...

Код на 380975730701:
05405404

Те, кто распространяют эту хрень - реальные ублюдки.

Анонимный комментирует...

Автору благодарность. Для 89178640276 - 8990656D

Анонимный комментирует...

Большое спасибо автору за статью!

Анонимный комментирует...

все сделал по инструкции теперь комп при загрузке не может найти системный диск

Анонимный комментирует...

Ураааааааааааа...Все працює!!! Дуже Дякую! Респект автору!!!

Unknown комментирует...

там в темпе есть копия трояна..пришлете?

RomaOle комментирует...

Описаний спосіб розблокування реально допоміг. Автору велика подяка.

Baur комментирует...

Огромное Вам спасибо! Всё получилось. Спасибо!

Анонимный комментирует...

таже проблема. незнаю как включить терминал

Анонимный комментирует...

Помогите. Пишет Фатал ерор при попытке запустить в графическом режиме. Как можно запустить Terminal без графического режима?

Анонимный комментирует...

no boot sector on internal hard drive Disk I/0 error. Replace the disk. and the. press any key..это после того, как сделала по инструкции

Анонимный комментирует...

Все сделал! Комп пришлось выключать сам не перезагрузился! Выбыло на черном экране Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press a key

P.s. Ноут без CD-ROMa

Анонимный комментирует...

Добрый день. У меня та же проблема - тоже блокирует вирус загрузку винды. Сделал все по вашей инструкции, но ничего не вышло - загрузить ЛайвЮСБ не удалось - опять выдает сообщение с требованиями. Просит 710 грн на номер 380871548993. Чем можна помочь в этой ситуации.?

Анонимный комментирует...

Добрый день!
Подскажите пожалуйста код для № кошелька 380971829047

Unknown комментирует...

а записать сд или флешку на другой машине никак?

Юрий комментирует...

Ребят, у когонить есть код на Вэб мани по номеру 380919546825? Хэлп

Анонимный комментирует...

Ребята, подскажите, пожалуйста код на номер кошелька U380679065947. Заранее благодарен !

Unknown комментирует...

до окна приветствия?

Анонимный комментирует...

ДЯДЬКА ЦЕНЫ ТЕБЕ НЕТ!!!ОТ ВСЕЙ ДУШИ!

Анонимный комментирует...

Большое СПАСИБО редактору!!!!!!!!!!!!!!!!!!!!!!!!!!!! Все получилось! Побольше бы таких людей!

Unknown комментирует...

здравствуйте. сделал все как написано, единственное вместо файлов sda были файлы sda1 5 и 6
после чего не найдя в пуске Shutdown & Eject просто перезагрузил и вынял диск. виндовс не загрузился и постоянно после надписи:

ntel UNDI , PXE-2.1 (build 083)
Copyright (c) 1997-2000 ) Intel Corpatation

This Product is covered by one or more of the following patents:
US5,307,459, US5,434,872, US5,732,094, US6,570,884, US6,115,776 and
US6,327,525

Realtel Pcle GBE Family Controller Series v2.45 (12/30/11)
PXE-E61 : Media test Failure, check cable

PXE-MOF : Exiting PXE ROM.

выкидывает в boot menu.

что с этим делать??? прошу помоши.

Анонимный комментирует...

eta figna udalila reestri i razdel sda chto delat

Анонимный комментирует...

Запустил Midnaght Commander и в папку mnt были sda2 и sda5. Попробовал сделать процедуру с sda5 - не помогло. При повторном открытии папки mnt sda5 удалился почему то. Проделал тоже с sda2, перезагрузил комп, черный экран
Reboot and Select proper Boot device or Insert boot Media in selected Boot device and Pres a key
Проверил приоритет загрузки дисков в биосе - первый жесткий.
Попробовал запустить установочный диск системы Win7 - черный экран
invalid partition table
Короче навернулся жесткий, комп новый месяца нет... Винда не ставится не видит жесткого вобще требует драйвера на него... в биосе он определяется..
HELP!!!!!! Автор, как восстановить всё!!!! С ув!!

Unknown комментирует...

С акрониса загрузитесь

Анонимный комментирует...

Акронис не видит тоже, восстановление удаленных разделов в нем тоже не помогает, хотя диск живой... есть еще варианты реанимировать???

Анонимный комментирует...

Таким способом удалились таблицы разделов на жестком диске.. Акронис в упор не видит жесткий.. собственной инициативой заниматься пропало желание! ищу кто может спасти инфу в моем городе... или хотя бы жесткий... первый раз за 7 лет обращаюсь к кому то по компу... Народ, лучше не рискуйте удалять вирус ТАК

Unknown комментирует...

http://forum.drweb.com/index.php

Там найти k.nikolenko и спросить.

Он вам обьяснит как с докторовского восстановить все.
Только не говорите что я Вас к нему послал ;)

Анонимный комментирует...

ну может кому поможет, ставим обычный загрузочный диск с windows 7 , дожидаемся загрузки с cd, в первом окне выбираем язык, во втором выбираем восстановление системы, дальше идет поиск уже установленных систем, соглашаемся с тем, что он нашел, в следующем окне выбираем самый последний пункт - командная строка, в ней набираем bootrec /fixmbr и bootrec /fixboot, по сути вирус затер виндовый загрузчик, а на его место прописал себя, делов на 2 минуты, перезагружаемся

Анонимный комментирует...

Абсолютно та же самая проблема случилась! Скажи пожалуйста ты нашел решение? Если, да то какое?

Анонимный комментирует...

требовал на WM R 079096960797 отправить 3000 руб. справился легко др.веб за это ему громадное уважение

Анонимный комментирует...

нЕ ЗАГРУЖАЛАСЬ ос требовал на WM R 079096960797 отправить 3000 руб. справился легко др.веб за это ему громадное уважение