Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6

Как обычно, принесли мне компьютер завирусованный на лечение :-)

Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):

Ваш компьютер заблокирован за просмотр, копирование и тиражирование видеоВаш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.

Поначалу я проверял в течение 6 часов комп с помощью Dr.Web® LiveCD. Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр — тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить… И наткнулся на Лайв-сиди Kaspersky Rescue Disk 10. Основан он все на том же Linux Gentoo — узнаю родимые поля, что называется :-D

Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать :-)

Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить ноутбуки в магазине МобилЛак. Выбор там богатый, а цены радуют.

А вот как этот вирус зовется у других антивирусов:
Antiy-AVL — Trojan/Boot.Mbro
BitDefender — Rootkit.MBR.Locker.B (Boot image)
Comodo — TrojWare.Boot.Ransom.Mbro.A
DrWeb — Trojan.MBRlock.6
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.B
Ikarus — Trojan-Ransom.Boot.Mbro
Kaspersky — Trojan-Ransom.Boot.Mbro.a
Sophos — Troj/RnsmMbr-A

Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.

К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR *CRAZY* До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча — он на этот раз нашел то, чего даже Доктор не смог :-)

32 Комментарии

  1. Opera 11.64 Windows XP

    Я всё-таки попробовал восстановить загрузчик
    bootrec.exe /FixMbr
    никаких вирусов в нем не осталось, потом добил откуда они вылезли с помощью cureit
    оказалось — из архива с инструкцией по ремонту телека, вот такая «порнуха»

  2. Firefox 12.0 Ubuntu x64

    Нда, не на тех напали, надо было им вирус в какие-нибудь гламурные игрушки айфона подобное сувать :-D
    Ремонтники так просто не сдаются!

  3. Opera 11.64 Windows XP

    Такая же байда была, текст в стиле DOS, просили 800 с чем то грн :) Только что избавился от этой проблемы, открыл в Live CD екзешник TDSSKiller он за пол минуты вылечил Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6. Сейчас ставлю новую винду с софтом и дровами, потом сделаю копию диска в Acronis. Спасибо вам за советы. Kaspersky WindowsUnlocker нифига не помог, вирус нашел но полечить не смог.

  4. Firefox 13.0.1 Ubuntu x64

    Странно, у меня тогда все без проблем удалил. А если вручную файл грохнуть? Или важный системный какой?

  5. MyIE2 Windows XP

    Короче, вирус прописывается в буте.
    FIXMBR и FIXBOOT должны помочь.
    Я фиксил с загрузочного WIN XP
    Вообще, вирусни этой развелось.
    И через летитбит и скай монк и через что хочешь. Комодо не всегда справляется. Д.ВЭБ — эх-хе-хе. Еле отбиваюсь.)

  6. Google Chrome 18.0.1025.162 Windows 7

    Спасибо Автору -только Касперский рескью диск и помог. Благо хоть чистая болванка СД нашлась. С флешки не запускался раскрытый образ -хотя в биосе ставил -первым юсб -только с СД диска

  7. Internet Explorer 8.0 Windows XP

    Помогите! Эта гадость заблокировала комп! Требует пополнить кошелек 380971549575 на 810 грн. Что делать? Неужели переустанавливать винду? Заранее спасибо!

  8. Firefox 13.0.1 Ubuntu x64

    Юлия, не факт, что переустановка поможет — нужно как минимум форматировать полностью винчестер.
    Легче скачать лайв-сиди от Касперского по ссылке выше и проверить им компьютер.

  9. Firefox 13.0.1 Ubuntu x64

    Смотря какая разновидность зловреда. Недавно встречался с тем, который после загрузки венды блочит — вот там бы форматирование помогло враз. Правда, я вручную нашел вирус и удалил его, так что все оболошлось.
    А со случаем из топика — да, действительно, в зугрузочной области прописывается, зараза.

  10. Mozilla 1.0 Windows Vista

    ram32 пишет:

    @ Игорь:
    Неужели эта зараза способна даже вход в BIOS заблокировать? Попробуйте сбросить его настройки батарейкой на материнке…

    Вчера принесли ноут с MBR.Lock, с блокированием BIOS. Технология лечения простая, снимаете винт, подключаете к второму компу и Dr.Web CureIt! последней версией, выбираете Выборочное сканирование, и весь диск сканируете. В начале находит Master Boot Record HDD2 — Trojan.MBRlock.6, и дальше два .exe файла (могут быть подругими именами) типа 2wer.exe и xx_porno_tyvh.exe. Последние файлы сканер удалит. Потом ставите винт обратно и все ОК. Даже не надо восстанавливать MBR.

  11. Firefox 14.0.1 Ubuntu x64

    @ Дима:
    Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.

    MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.

  12. MyIE2 Windows XP

    А ведь этот вирусняк, должно быть, приличные деньги приносит.
    Значит, разраб будет его совершенствовать.

  13. Google Chrome 12.0.742.100 Windows XP

    Да … касперский унлокер 1.0.3 справился с этим за 5 минут, просто проверить / загрузчик. и опа ТРОЯН )) потом дизинфект и вуаля.

  14. Google Chrome 22.0.1229.94 Windows 7 x64 Edition

    Спасибо тебе, добрый человек.
    Клиент доволен, я тоже.

    Досадно, что не может объяснить последовательность действий, после которой он эту дрянь нажил.

Отправить ответ

Ваш e-mail не будет опубликован.


*


Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.