Как обычно, принесли мне компьютер завирусованный на лечение 
Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.
Поначалу я проверял в течение 6 часов комп с помощью Dr.Web® LiveCD. Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр — тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить… И наткнулся на Лайв-сиди Kaspersky Rescue Disk 10. Основан он все на том же Linux Gentoo — узнаю родимые поля, что называется 
Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать
Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить ноутбуки в магазине МобилЛак. Выбор там богатый, а цены радуют.
А вот как этот вирус зовется у других антивирусов:
Antiy-AVL — Trojan/Boot.Mbro
BitDefender — Rootkit.MBR.Locker.B (Boot image)
Comodo — TrojWare.Boot.Ransom.Mbro.A
DrWeb — Trojan.MBRlock.6
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.B
Ikarus — Trojan-Ransom.Boot.Mbro
Kaspersky — Trojan-Ransom.Boot.Mbro.a
Sophos — Troj/RnsmMbr-A
Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.
К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR 
До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча — он на этот раз нашел то, чего даже Доктор не смог
Я всё-таки попробовал восстановить загрузчик
bootrec.exe /FixMbr
никаких вирусов в нем не осталось, потом добил откуда они вылезли с помощью cureit
оказалось — из архива с инструкцией по ремонту телека, вот такая «порнуха»
Нда, не на тех напали, надо было им вирус в какие-нибудь гламурные игрушки айфона подобное сувать
Ремонтники так просто не сдаются!
Такая же байда была, текст в стиле DOS, просили 800 с чем то грн
Только что избавился от этой проблемы, открыл в Live CD екзешник TDSSKiller он за пол минуты вылечил Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6. Сейчас ставлю новую винду с софтом и дровами, потом сделаю копию диска в Acronis. Спасибо вам за советы. Kaspersky WindowsUnlocker нифига не помог, вирус нашел но полечить не смог.
Находить ево то находит но вот хрен удаляет или лечит. Што на это скажете
Странно, у меня тогда все без проблем удалил. А если вручную файл грохнуть? Или важный системный какой?
Новый появился, просит 880 гривен.
Я не искал приключений — и за Акронис.
http://s2.hostingkartinok.com/uploads/images/2012/06/f7265337abdcc74af8ad3d6893aa9b32.gif
Короче, вирус прописывается в буте.
FIXMBR и FIXBOOT должны помочь.
Я фиксил с загрузочного WIN XP
Вообще, вирусни этой развелось.
И через летитбит и скай монк и через что хочешь. Комодо не всегда справляется. Д.ВЭБ — эх-хе-хе. Еле отбиваюсь.)
Спасибо Автору -только Касперский рескью диск и помог. Благо хоть чистая болванка СД нашлась. С флешки не запускался раскрытый образ -хотя в биосе ставил -первым юсб -только с СД диска
Помогите! Эта гадость заблокировала комп! Требует пополнить кошелек 380971549575 на 810 грн. Что делать? Неужели переустанавливать винду? Заранее спасибо!
Юлия, не факт, что переустановка поможет — нужно как минимум форматировать полностью винчестер.
Легче скачать лайв-сиди от Касперского по ссылке выше и проверить им компьютер.
Форматирование тоже не поможет. Нужно чистить БУТ.
Смотря какая разновидность зловреда. Недавно встречался с тем, который после загрузки венды блочит — вот там бы форматирование помогло враз. Правда, я вручную нашел вирус и удалил его, так что все оболошлось.
А со случаем из топика — да, действительно, в зугрузочной области прописывается, зараза.
@ Amelia06:
А что такое MBR ?
ram32 пишет:
Вчера принесли ноут с MBR.Lock, с блокированием BIOS. Технология лечения простая, снимаете винт, подключаете к второму компу и Dr.Web CureIt! последней версией, выбираете Выборочное сканирование, и весь диск сканируете. В начале находит Master Boot Record HDD2 — Trojan.MBRlock.6, и дальше два .exe файла (могут быть подругими именами) типа 2wer.exe и xx_porno_tyvh.exe. Последние файлы сканер удалит. Потом ставите винт обратно и все ОК. Даже не надо восстанавливать MBR.
Точно такая неприятность была у товарища. Вылечили Каспером LiveCD. Только вначале надо включать Windows 7.
@ Дима:
Главная загрузочная запись (англ. master boot record, MBR) — код и данные, необходимые для последующей загрузки операционной системы и расположенные в первых физических секторах (чаще всего в самом первом) на жёстком диске или другом устройстве хранения информации.
MBR содержит небольшой фрагмент исполняемого кода, таблицу разделов (partition table) и специальную сигнатуру.
А ведь этот вирусняк, должно быть, приличные деньги приносит.
Значит, разраб будет его совершенствовать.
Мне недавно приходило предложение, стоимость всего комплекта 1000 долларов.
все намного проще: эта шняга лечится командой fixmbr из консоли восстановления.
@ Вася:
Надо лечить не только следствие, но и причину. Вирус не только в MBR прописан.
@ Вася:
Если у тебя не заблокирован BIOS. Читайте внимательнее.
Спасибо огромное!!! И Касперскому — тоже :)))
такая же фигня выскочила.
загрузился со зверя, запустил сканер доктор веб, сразу нашло, вылечило, перегрузился — всё гуд.
Да … касперский унлокер 1.0.3 справился с этим за 5 минут, просто проверить / загрузчик. и опа ТРОЯН )) потом дизинфект и вуаля.
Мне загрузочник от касперского помог. Машинка работает без проблем. Спасибо, что вы мне помогли.
спасибо. сижу лечу каспером
Касперский не панацея. Не хвалитесь, не получив настоящую пилюлю.
Настоящая панацея — только голова на плечах.
Спасибо тебе, добрый человек.
Клиент доволен, я тоже.
Досадно, что не может объяснить последовательность действий, после которой он эту дрянь нажил.
помогите пожалуйста найти код разблокировик 380984178174
@ Евгений:
Коды разблокировки:
46756868
88377373
Взяты отсюда: https://www.drweb.com/xperf/unlocker/
у доктора есть в настройках функция «запретить низкоуровневую запись на диск» поэтому mbrlock физически не может заразить машину