Вниз

20 Июль 2011

82

Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6

СМС-блокер

Как обычно, принесли мне компьютер завирусованный на лечение :-)

Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоВаш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.

Поначалу я проверял в течение 6 часов комп с помощью Dr.Web® LiveCD. Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр - тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить... И наткнулся на Лайв-сиди Kaspersky Rescue Disk 10. Основан он все на том же Linux Gentoo - узнаю родимые поля, что называется :-D

Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать :-)

Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить ноутбуки в магазине МобилЛак. Выбор там богатый, а цены радуют.

А вот как этот вирус зовется у других антивирусов:
Antiy-AVL - Trojan/Boot.Mbro
BitDefender - Rootkit.MBR.Locker.B (Boot image)
Comodo - TrojWare.Boot.Ransom.Mbro.A
DrWeb - Trojan.MBRlock.6
Emsisoft - Trojan-Ransom.Boot.Mbro!IK
F-Secure - Rootkit.MBR.Locker.B /(Boot image/)
GData - Rootkit.MBR.Locker.B
Ikarus - Trojan-Ransom.Boot.Mbro
Kaspersky - Trojan-Ransom.Boot.Mbro.a
Sophos - Troj/RnsmMbr-A

Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.

К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR *CRAZY* До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча - он на этот раз нашел то, чего даже Доктор не смог :-)

Еще из рубрики Комповое

  1. 20 Июл 2011
    Firefox 5.0Windows XP

    ух ты, ничего себе! :)
    долой винду!

  2. Сергей
    20 Июл 2011
    Opera 11.50Windows XP

    Мбр элементарно восстанавливается.

  3. 21 Июл 2011
    Firefox 5.0GNU/Linux x64

    fixboot, fixmbr — не надо меня учить. Дело в том, что вирус может остаться после этого.

  4. 23 Июл 2011
    Google Chrome 12.0.742.124GNU/Linux x64

    наш друг Сергей и тут влез :-D делится своими псевдо-познаниями :-D
    скоро нас начнут и историки с химиками обучать чинить компы, ё-маё!

  5. 24 Июл 2011
    Safari 5.0.6Mac OS X 10.5.8

    ну почему бы и нет, в загрузчиках вообще места обычно не мало, учитывая всякие выравнивания и т п. с другой стороны, венда уже мож умеет и без mbr жить, никсыж сто лет как умеют

  6. 27 Июл 2011
    Firefox 5.0GNU/Linux x64

    В общем, мыши плакали, кололись, но продолжали грызть кактус (=венду) :)

  7. 28 Июл 2011
    Safari 5.0.6Mac OS X 10.5.8

    ну я использую почти параллельно все три основные десктопные системы и пишу для них же, мне кажется местами софт для венды всёж лучший. Другое дело, что для этого часто хватает просто виртуалки без всяких интернетов… ну или скажем когда с Electronic Arts работал, там положено было по компу с локалкой и вендами на всякий случай и ещё одному компу с линуксом/маком для обычного пользования — вполне юзабельно если что

  8. 28 Июл 2011
    Firefox 5.0GNU/Linux x64

    Меня wine выручает, когда надо воспользоваться специфичным софтом :) Но это редко — сейчас софт в основном на веб переводят :) А так — для повседневного юзания Гномового хватает выше крыши.

  9. Сергей Владимирович
    29 Сен 2011
    Internet Explorer 8.0Windows XP

    да и я столкнулся с этой др. (а уши у этого распространителя этой дряни ох и вырастут)
    но я пользователь попроше.
    а вылечил-короче загрузился с диска (LiveXp).
    пробовал встроенным сканером (в LiveXp-Dr.Web)-непомогло.
    далее
    открыл диск С(системный)-Program Files-Dr.Web-сканер Dr.Web-
    запустил-быстрая проверка-обнаружен вирус-удалить-пишет-вылечено.
    перезагрузка с жесткого диска-все ОК.

    У меня Dr.Web 6.0 легальный обновляемый. вот тут и плюсы
    нормальных антивирусников-пользуйтесь господа антивирусными прогами с нормальным обновлением, это так мысли вслух.

  10. 2 Окт 2011
    Firefox 6.0.2GNU/Linux x64

    Ну, LiveCD от Доктора Веба вполне легальный — на официальном сайте выложен. Просто на тот момент вируса еще не было в их базе…

  11. Евгения
    23 Окт 2011
    Firefox 3.6.23Windows XP

    При загрузке ПК черный экран! Красными буквами написано, что ПК заблокирован за просмотр порнографии и т.д и т.п! Для разблокировки необходимо оплатить штраф 500 через Webmoney. номерR кошелька-079057028726 :(

  12. Евгения
    23 Окт 2011
    Firefox 3.6.23Windows XP

    Помогите пожалуйста! %)

  13. 23 Окт 2011
    Firefox 7.0.1GNU/Linux x64

    Евгения, так скачайте загрузочный диск от Касперского: http://support.kaspersky.ru/viruses/rescuedisk?level=2 и загрузитесь с него, проверьте систему. Мне помогло.

  14. Mih
    31 Дек 2011
    Namoroka 3.6.12Gentoo

    Вот оно чего, михалыч… у меня такая же беда. только написано калямаля какая-то, со шрифтами нестыковка видимо. и дополнительно выдаёт четыре писка. Поначалу думал что это материнка накрылась. Но касперский меня обрадовал вирусом :) сейчас кстати, из-под Генту и пишу…

  15. 3 Янв 2012
    Firefox 9.0.1Ubuntu x64

    Что ж за хацкеры такие вирусы пишут, что проблемы с кодировкой решить не могут :-D

  16. 18 Фев 2012
    Google Chrome 17.0.963.56Windows 7

    Лечится касперским и вебом на ура (другими не пробовал)
    8)

  17. user
    19 Фев 2012
    Opera 11.61Windows Vista

    на родительский комп засел такой гад. только в конце названия не «а» а «d». перепробовал все и лайв сиди от каспера (нашел гада, а прибить не может) и систему уже грохнул и форматнул диск — все равно требует бабло)). выход оказался элементарным. Открыл системник, вытащил батарейку, вставил батарейку, закрыл системник — все))

  18. 5 Мар 2012
    Firefox 10.0.2Windows XP

    спасибо, помогло

  19. Костя
    6 Мар 2012
    Google Chrome 2.0.172.33Windows XP

    Помогите Пожалуйста!!!!! Ваш ПК заблокированн,пополните кошелек QIWI номер кошелька 380684833129 и оплатить на 660 грн))))) ЧТО ДЕЛАТЬ и КАК ДАЛЬШЕ БЫТЬ)))) ЗАРАНИЕ ОГРОМНОЕ СПИСИБО)))))))

  20. 10 Мар 2012
    Firefox 10.0.2Ubuntu x64

    @ Костя:
    Антивирусом с Live-CD сканировали?
    Можете еще попробовать поискать коды разблокировки на сайте Доктора Веба: https://www.drweb.com/xperf/unlocker/
    Вроде бы 112221 должен подойти.

  21. Роман
    10 Мар 2012
    Google Chrome 17.0.963.78Windows 7

    ура ура ура тем людям которые выкладывают эти темы!!!!
    сегодня старший брат посидел за ноутом у мамы и нашел в парнухе такой инстал, два дня за клавой и вот результат. в телефонном режиме я сразу сообразил в чем прикол. ну т.к. 8, затем у отчима 9 марта днюха а завтра 11 у меня, долго с пересыпом решал данный вопрос, изначально знал что решение легкое и не парился, сталкивался с подобным. такого начитался… приедем за 20евро, книга за … и всякая дребедень… с загрузочной флехи через каспера. ну все равно СПАСИБО ТЕБЕ ЗА СОЗДАННУЮ ТЕМУ от себя и всех чайников =) ;) =) :P =)

  22. Роман
    10 Мар 2012
    Google Chrome 17.0.963.78Windows 7

    и мне помогло

  23. Роман
    10 Мар 2012
    Google Chrome 17.0.963.78Windows 7

    @ ram32:
    мне тоже помогло, быстро и практично
    8)

  24. фыв
    1 Апр 2012
    Firefox 3.6.24Windows XP

    херня этот касперский. тупит жутко! :-!

  25. 4 Апр 2012
    Firefox 11.0Ubuntu x64

    Зато работает. А чтоб не тупило, надо системы нормальные использовать — например, Linux.

  26. Василий
    7 Апр 2012
    Opera 11.61Windows XP

    Все точно тоже только телефон уже 380684668943 и требует 860 грн (Украина).
    Trojan.MBRlock.6 — пол дня мучался, но победил этого гада. :-D
    Пол дня ушло на запуск системы (под рукой компактдиска загрузочного не оказалось). Помог LiveCD установленный на флешку.
    Само же лечение заняло 2 мин *CRAZY*

  27. lepa
    9 Апр 2012
    Firefox 11.0Windows 7 x64 Edition

    @ Василий:
    Код разблокировки 21545455

  28. www.vk.com/raynar
    5 Май 2012
    Google Chrome 18.0.1025.168Windows XP

    рескуе диск от каспера сейчас пробую,др веб не помог) думаю плоучиться вылечить :P

  29. Николай
    5 Май 2012
    Firefox 12.0Windows XP

    А LiveXp-Dr.Web мне таки не помог даже новый по состоянию на 04.05.2012
    скачал Kaspersky Rescue Disk 10 щас буду пробовать

  30. юра
    7 Май 2012
    Opera 11.61Windows 7

    тоже самое только номер 380981256635.помогите

  31. Игорь
    7 Май 2012
    Internet Explorer 8.0Windows 7

    Все точно тоже только телефон уже 380971558981 и требует 860 грн. Помоготи пожалуйста с кодом

  32. 8 Май 2012
    Firefox 12.0Ubuntu x64

    Ребят, попробуйте тут получить код разблокировки: https://www.drweb.com/xperf/unlocker/

  33. Николай
    8 Май 2012
    Google Chrome 18.0.1025.168Windows XP

    Кашперский помог

  34. 8 Май 2012
    Opera 11.60Windows 7

    380971549330 %) Помоготи пожалуйста с кодом(

  35. Игорь
    9 Май 2012
    Firefox 10.0.1Windows 7

    @ Саня:
    та же самая фигня( с этим кошельком я не находил овтет, но только я еще и в биос зайти не могу….

  36. Игорь
    9 Май 2012
    Firefox 10.0.1Windows 7

    380971549330 номер веб мани кошелька злоумышника — я вчера поймал вирус и пробывал сделать все простым методом сношения винды на новую 7 ку… дело в том что в биос не могу попасть никакой клавишей — включительно что пишет нужно нажать либо ТАБ либо ДЕЛ чтоб попасть в биос… Что вы мне подсказать можете… мне же нужно поставить на флешку либо на диск что бы при вставлении она смогла читать.. а без выставления определенной настройке в биос это кажеться не возможным… ну что великие програмисты вы мне поможете с этой проблемой?) если да отпишитесь пожалуйста… буду в течении дня следить за ответами

  37. 10 Май 2012
    Firefox 12.0Ubuntu x64

    @ Игорь:
    Неужели эта зараза способна даже вход в BIOS заблокировать? Попробуйте сбросить его настройки батарейкой на материнке…

  38. sergiy
    13 Май 2012
    Opera 11.64Windows XP

    У меня вот такая ситуация с этим вирусом:
    Вытаскивание ьатарейки не помогает.
    Каспер даже не запускается, вылазит сразу же сообщение что на рисунке.
    Вебер запускается, сканирует, но ничего не находит.
    Хелп ми.

  39. максим
    14 Май 2012
    Opera 11.64Windows 7

    @ sergiy: вчера удалил этот вирус,он блокирует доступ к жесткому диску пк.Этап 1: скачиваем LIVE CD и загружаемся с него.2:скачиваем прогу Kaspersky TDSSKiller на флешку и запускаем сканирование ..О чудо! мы его мочканули.

  40. Аня
    14 Май 2012
    Opera Mini 6.1.25378J2ME/MIDP Device

    Помогите! Эта сволочь все заблокировала, Касперский не может получить доступ к жесткому диску ;-( Требуют 810 гривен на U380971677180

  41. Владимир
    14 Май 2012
    Firefox 10.0a1Windows 7 x64 Edition

    вот подцепил и я такую гадость, винду не удается запустить выскакивает черный экран с красными надписями, хочет денег на номер 380689360334, live cd касперского и dr.weba не запускаются почему то…Help please! %)

  42. Максим
    14 Май 2012
    Opera 11.64Windows 7

    @ Владимир:
    качай пункт 7 .live cd http://www.ex.ua/view/6752060?r=50906

  43. Максим
    14 Май 2012
    Opera 11.64Windows 7

    Максим пишет:

    @ Владимир:
    1 .качай пункт 7 .live cd http://www.ex.ua/view/6752060?r=50906

    загружаемся с него .
    2.скидываем на флешку TDSSKiller http://www.comss.ru/page.php?id=554 сканируем,удаляем вирус.

  44. Аня
    14 Май 2012
    Opera Mini 6.1.25378J2ME/MIDP Device

    Все, вирус убила, но эта сволочь пожрала все файлы на винте. Диски восстановить не удалось, восстанавливаю файлы

  45. колян
    15 Май 2012
    Google Chrome 18.0.1025.168Windows XP

    Пришел сегодня к знакомой мазилу просит скачать и поставить , я удивился типа почему сама не можеш ? ну типа я не понимаю как ее ставить .набираю через экспловер оф сайт мазилы и при переходе по ссылке сразу вылазит такая хня : темный экран с красными надписями типа порно и денег просит 860 грн
    на веб мани 380971567195 . был у др веба — кодов готовых нет
    кто подскажет ? ей только вчера винду перебили . пришел домой дома по той же ссылке зашел — все ок. думаю , что она его раньше поймала , спецов позвала , а те недоделали остались от него кусочки . код есть люди ??

  46. 15 Май 2012
    Firefox 12.0Ubuntu x64

    У кого не получилось — пробовали искать похожие блокеры по изображениям и вбивать коды от них?
    https://www.drweb.com/xperf/unlocker/gallery/

  47. Владимир
    17 Май 2012
    Firefox 10.0a1Windows 7 x64 Edition

    @ Максим:
    Спасибо но и это почему то не помогало, а помогла Antisms_1.9 и после неё заработал hdd и запустилась моя винда.

  48. BeZpredel
    18 Май 2012
    Firefox 11.0Windows 7

    Весьма отвратительная и коварная дрянь! Портит загрузочную таблицу жеских дисков.
    Лечится эта дрянь довольно легко.
    Програмка TestDisk v.6.9 и выше.
    входит в сотав Hiren’s BootCD, даже windows переустанавливать не надо. Если кому интересно могу подробней обьяснить как избавится от этой гадости.(позже)
    В любом случае не переводите деньги вымогателям!
    Этим вы только поощряете их на новые подвиги.

  49. максим
    21 Май 2012
    Opera 11.64Windows 7

    @ BeZpredel:В этом диске есть видео урок для чайников и антисмс прога.
    http://www.ex.ua/view/50906?p=3

  50. 24 Май 2012
    Firefox 12.0Ubuntu x64

    @ максим:
    Дело в том, что ex.ua открывается только на территории Украины…

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.