Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6

Как обычно, принесли мне компьютер завирусованный на лечение :-)

Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоВаш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.

Поначалу я проверял в течение 6 часов комп с помощью Dr.Web® LiveCD. Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр — тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить… И наткнулся на Лайв-сиди Kaspersky Rescue Disk 10. Основан он все на том же Linux Gentoo — узнаю родимые поля, что называется :-D

Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать :-)

Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить ноутбуки в магазине МобилЛак. Выбор там богатый, а цены радуют.

А вот как этот вирус зовется у других антивирусов:
Antiy-AVL — Trojan/Boot.Mbro
BitDefender — Rootkit.MBR.Locker.B (Boot image)
Comodo — TrojWare.Boot.Ransom.Mbro.A
DrWeb — Trojan.MBRlock.6
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.B
Ikarus — Trojan-Ransom.Boot.Mbro
Kaspersky — Trojan-Ransom.Boot.Mbro.a
Sophos — Troj/RnsmMbr-A

Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.

К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR *CRAZY* До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча — он на этот раз нашел то, чего даже Доктор не смог :-)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.

  1. Google Chrome 12.0.742.124 GNU/Linux x64

    наш друг Сергей и тут влез :-D делится своими псевдо-познаниями :-D
    скоро нас начнут и историки с химиками обучать чинить компы, ё-маё!

  2. Safari 5.0.6 Mac OS X  10.5.8

    ну почему бы и нет, в загрузчиках вообще места обычно не мало, учитывая всякие выравнивания и т п. с другой стороны, венда уже мож умеет и без mbr жить, никсыж сто лет как умеют

  3. Safari 5.0.6 Mac OS X  10.5.8

    ну я использую почти параллельно все три основные десктопные системы и пишу для них же, мне кажется местами софт для венды всёж лучший. Другое дело, что для этого часто хватает просто виртуалки без всяких интернетов… ну или скажем когда с Electronic Arts работал, там положено было по компу с локалкой и вендами на всякий случай и ещё одному компу с линуксом/маком для обычного пользования — вполне юзабельно если что

  4. Firefox 5.0 GNU/Linux x64

    Меня wine выручает, когда надо воспользоваться специфичным софтом :) Но это редко — сейчас софт в основном на веб переводят :) А так — для повседневного юзания Гномового хватает выше крыши.

  5. Internet Explorer 8.0 Windows XP

    да и я столкнулся с этой др. (а уши у этого распространителя этой дряни ох и вырастут)
    но я пользователь попроше.
    а вылечил-короче загрузился с диска (LiveXp).
    пробовал встроенным сканером (в LiveXp-Dr.Web)-непомогло.
    далее
    открыл диск С(системный)-Program Files-Dr.Web-сканер Dr.Web-
    запустил-быстрая проверка-обнаружен вирус-удалить-пишет-вылечено.
    перезагрузка с жесткого диска-все ОК.

    У меня Dr.Web 6.0 легальный обновляемый. вот тут и плюсы
    нормальных антивирусников-пользуйтесь господа антивирусными прогами с нормальным обновлением, это так мысли вслух.

  6. Firefox 3.6.23 Windows XP

    При загрузке ПК черный экран! Красными буквами написано, что ПК заблокирован за просмотр порнографии и т.д и т.п! Для разблокировки необходимо оплатить штраф 500 через Webmoney. номерR кошелька-079057028726 :(

  7. Namoroka 3.6.12 Gentoo

    Вот оно чего, михалыч… у меня такая же беда. только написано калямаля какая-то, со шрифтами нестыковка видимо. и дополнительно выдаёт четыре писка. Поначалу думал что это материнка накрылась. Но касперский меня обрадовал вирусом :) сейчас кстати, из-под Генту и пишу…

  8. Opera 11.61 Windows Vista

    на родительский комп засел такой гад. только в конце названия не «а» а «d». перепробовал все и лайв сиди от каспера (нашел гада, а прибить не может) и систему уже грохнул и форматнул диск — все равно требует бабло)). выход оказался элементарным. Открыл системник, вытащил батарейку, вставил батарейку, закрыл системник — все))

  9. Google Chrome 2.0.172.33 Windows XP

    Помогите Пожалуйста!!!!! Ваш ПК заблокированн,пополните кошелек QIWI номер кошелька 380684833129 и оплатить на 660 грн))))) ЧТО ДЕЛАТЬ и КАК ДАЛЬШЕ БЫТЬ)))) ЗАРАНИЕ ОГРОМНОЕ СПИСИБО)))))))

  10. Google Chrome 17.0.963.78 Windows 7

    ура ура ура тем людям которые выкладывают эти темы!!!!
    сегодня старший брат посидел за ноутом у мамы и нашел в парнухе такой инстал, два дня за клавой и вот результат. в телефонном режиме я сразу сообразил в чем прикол. ну т.к. 8, затем у отчима 9 марта днюха а завтра 11 у меня, долго с пересыпом решал данный вопрос, изначально знал что решение легкое и не парился, сталкивался с подобным. такого начитался… приедем за 20евро, книга за … и всякая дребедень… с загрузочной флехи через каспера. ну все равно СПАСИБО ТЕБЕ ЗА СОЗДАННУЮ ТЕМУ от себя и всех чайников =) ;) =) :P =)

  11. Opera 11.61 Windows XP

    Все точно тоже только телефон уже 380684668943 и требует 860 грн (Украина).
    Trojan.MBRlock.6 — пол дня мучался, но победил этого гада. :-D
    Пол дня ушло на запуск системы (под рукой компактдиска загрузочного не оказалось). Помог LiveCD установленный на флешку.
    Само же лечение заняло 2 мин *CRAZY*

  12. Google Chrome 18.0.1025.168 Windows XP

    рескуе диск от каспера сейчас пробую,др веб не помог) думаю плоучиться вылечить :P

  13. Firefox 12.0 Windows XP

    А LiveXp-Dr.Web мне таки не помог даже новый по состоянию на 04.05.2012
    скачал Kaspersky Rescue Disk 10 щас буду пробовать

  14. Firefox 10.0.1 Windows 7

    @ Саня:
    та же самая фигня( с этим кошельком я не находил овтет, но только я еще и в биос зайти не могу….

  15. Firefox 10.0.1 Windows 7

    380971549330 номер веб мани кошелька злоумышника — я вчера поймал вирус и пробывал сделать все простым методом сношения винды на новую 7 ку… дело в том что в биос не могу попасть никакой клавишей — включительно что пишет нужно нажать либо ТАБ либо ДЕЛ чтоб попасть в биос… Что вы мне подсказать можете… мне же нужно поставить на флешку либо на диск что бы при вставлении она смогла читать.. а без выставления определенной настройке в биос это кажеться не возможным… ну что великие програмисты вы мне поможете с этой проблемой?) если да отпишитесь пожалуйста… буду в течении дня следить за ответами

  16. Firefox 12.0 Ubuntu x64

    @ Игорь:
    Неужели эта зараза способна даже вход в BIOS заблокировать? Попробуйте сбросить его настройки батарейкой на материнке…

  17. Opera 11.64 Windows XP

    У меня вот такая ситуация с этим вирусом:
    Вытаскивание ьатарейки не помогает.
    Каспер даже не запускается, вылазит сразу же сообщение что на рисунке.
    Вебер запускается, сканирует, но ничего не находит.
    Хелп ми.

  18. Opera Yx 11.64 Windows 7

    @ sergiy: вчера удалил этот вирус,он блокирует доступ к жесткому диску пк.Этап 1: скачиваем LIVE CD и загружаемся с него.2:скачиваем прогу Kaspersky TDSSKiller на флешку и запускаем сканирование ..О чудо! мы его мочканули.

  19. Opera Mini 6.1.25378 J2ME/MIDP Device

    Помогите! Эта сволочь все заблокировала, Касперский не может получить доступ к жесткому диску ;-( Требуют 810 гривен на U380971677180

  20. Firefox 10.0a1 Windows 7 x64 Edition

    вот подцепил и я такую гадость, винду не удается запустить выскакивает черный экран с красными надписями, хочет денег на номер 380689360334, live cd касперского и dr.weba не запускаются почему то…Help please! %)

  21. Opera Mini 6.1.25378 J2ME/MIDP Device

    Все, вирус убила, но эта сволочь пожрала все файлы на винте. Диски восстановить не удалось, восстанавливаю файлы

  22. Google Chrome 18.0.1025.168 Windows XP

    Пришел сегодня к знакомой мазилу просит скачать и поставить , я удивился типа почему сама не можеш ? ну типа я не понимаю как ее ставить .набираю через экспловер оф сайт мазилы и при переходе по ссылке сразу вылазит такая хня : темный экран с красными надписями типа порно и денег просит 860 грн
    на веб мани 380971567195 . был у др веба — кодов готовых нет
    кто подскажет ? ей только вчера винду перебили . пришел домой дома по той же ссылке зашел — все ок. думаю , что она его раньше поймала , спецов позвала , а те недоделали остались от него кусочки . код есть люди ??

  23. Firefox 10.0a1 Windows 7 x64 Edition

    @ Максим:
    Спасибо но и это почему то не помогало, а помогла Antisms_1.9 и после неё заработал hdd и запустилась моя винда.

  24. Firefox 11.0 Windows 7

    Весьма отвратительная и коварная дрянь! Портит загрузочную таблицу жеских дисков.
    Лечится эта дрянь довольно легко.
    Програмка TestDisk v.6.9 и выше.
    входит в сотав Hiren’s BootCD, даже windows переустанавливать не надо. Если кому интересно могу подробней обьяснить как избавится от этой гадости.(позже)
    В любом случае не переводите деньги вымогателям!
    Этим вы только поощряете их на новые подвиги.