Уже второй случай, когда одна и та же вирусня встречается в разных местах и по одинаковому пахнет
Вирус-вымогатель при включения компьютера загрузке винды записывается в загрузочный сектор жесткого диска блокирует экран входа в Windows, показывая говноокошко-уведомление о том, что на данном компьютере была просмотрена ггнушная информация, всяческие сайты педофи-направленности и просит отправить деньги в размере 300UAH на WEBMONEY U380684653704, U3804654335, U380684653537 кошельки, который сам по себе в системе webmoney не зарегистрирован, а данный номер скорее всего является номером телефона одного из абонентов Beeline (UA).
Текст сообщения гласит:
ВНИМАНИЕ! Ваш ПК заблокирован за просмотр и тиражирование порнографии с участием несовершеннолетних гомосексуалистов, элементами извращений. Для разблокировки, Вам необходимо оплатить штраф в размере 300 гривен в любом терминале оплаты. Выберите на экране терминала категорию "Электронные деньги"или подобный раздел. Найдите эмблему платежной системы Webmoney. Пополните кошелек Webmoney, для этого - введите номер U кошелька(12 цифр) - 380684653537 и пополните его на 300 гривен. По завершению оплаты, на выданном терминалом чеке оплаты, Вам будет выдан персональный код, после ввода которого, Ваш ПК будет автоматически разблокирован. В случае отказа от оплаты, операционная система будет уничтожена, без возможности восстановления. Enter code:
Итак, вирус называется Trojan-Ransom.Boot.Mbro.d (Kaspersky) его несколько разновидностей и у других антивирусов он называется примерно так:
BitDefender — Rootkit.MBR.Locker.* (Boot image)
Kaspersky — Trojan-Ransom.Boot.Mbro.d
DrWeb — Trojan.MBRlock.6
Comodo — TrojWare.Boot.Ransom.Mbro.D
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.D
Ikarus — Trojan-Ransom.Boot.Mbro
Sophos — Troj/RnsmMbr-D
Лечить его удается с помощью спасательного диска восстановления от Касперского (загрузить образ Kaspersky Rescue Disk можно с оф. сайта)
!Вирус записывается в загрузочный сектор жесткого диска (в MBR) и обычными fixboot или fixmbr врядли можно будет обойтись, и лучше их не задействовать!
Итак, для того чтобы удалить вирус необходимо скачать выше указанный образ диска восстановления и записать его на CD/DVD/USB носитель. Как записывать образ на CD/DVD думаю всем известно. А вот для записи этого образа на флешку (USB) необходимо так же скачать еще одну утилитку более подробное описание о том как это делать (как записывать образ на СД/ФЛЕШКУ) — читайте здесь
После записи образа на диск заходим в BIOS (когда включаете компьютер нажимаете все время клавишу F2 или Del.
выставляем первичную загрузку с ДИСКА/ФЛЕШКИ
Сохраняем все параметры биоса
компьютер перезагружается.
Нажимаем Enter в начальном меню загрузки KAV
В следующем меню (для вашего удобства) выбираем русский язык и снова Enter
Далее выбор уже стоит на «Kaspersky Rescue Disk. Графический режим» снова жмем Enter
Загружается диск. Ждем.
После того как он загрузился соглашаемся с лицензионным соглашением (клавиша C) и ждем пока он примонтирует разделы, настроит сетевые интерфейсы и в конце концов заходим в меню в нижней панели слева и выбираем Kaspersky Rescue Disk
В Kaspersky Resue Disk можно так же выбрать диски (разделы отметить галочками) которые хотите проверить на наличие вирусов и в итоге жмем на «Выполнить проверку объектов».
Ждем полной проверки системы
При проверке антивирус может выдать сообщение о найденном вирусе и предложить его вылечить или удалить. Жмем вылечить, если кнопка лечить не доступна — жмем удалить!
В конце проверки перезагружаемся. Все должно заработать!
UPD 03.02.2012: У кого в графическом режиме не загружается антивирус — попробуйте Текстовый режим !
UPD 19.02.2012:
Если ничего не помогло, попробуйте восстановить загрузочные сектора с помощью fixboot и fixmbr, для этого нужно:
Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках с Windows, и там в консоли набрать эти команды. Более подробно — здесь
UPD 14.03.2012:
Кому не помогло все выше — попробуйте LiveCD AntiWinLocker (записываете на CD/DVD диск и пользуетесь)
Возможные пароли для разблокировки загрузочного сектора:
1113332
03290940
98278728
10020000
дело в том что блокирует вирус с самого начала тоесть загрузить с диска не получаеться))) для этого я вынимал и менял местами провода к жостким дискам и запускал пк от этого сбивались настройки вируса! но что бы не форматить диски поменял потом обратно и запустил снова пк и вирус уже не запускался но и доступа к винде уже не было в общем с сд получилось установить винду со старой винды забрал все файлы свои что мне дороги были и удалил ее на… с пк а вирус жосткий я думал что все крандец что вирус на самом биосе записан. Впрочем эти скоты скоро и такой придумают надо учиться биос перепоривать через специальную приставку а вобще надо их центрыть было бы здорово найти в нете инфо как можно выцентрить этих падлюк что бы отрубать пальцы им, что бы не забирали время жизни людей и не создавали им проблем! кстати многии ведутся и идут платить мой вам совет если у вас лицензионная винда и на компме небыло пиратских файлов программ))) то идите в с заявлением в милицию пусть ищут они то найдут если захотят!
Загрузиться с CD/DVD диска возможно, если в БИОСе выставить первичную загрузку с CD/DVD читайте внимательно статью. И естественно можно будет загрузиться с диска восстановления о чем и написано подробно в статье как все делать.
Спасибо, всё получилось!
Большое спасибо! Все как расписали!
Проводит загрузку файлов и зависает.
Скажите, что это???
спасибо.
Kaspersky Resue Disk выцепил эту дрянь за 5 сек, на 1% проверки остановил проверку перезагрузил и комп был здоров.))
Большое Вам ДанкеШон.
Валерий says:
24.01.2012 на 22:25
Проводит загрузку файлов и зависает.
Скажите, что это???
спасибо.
в мене та самая проблема
Уважаемые товарищи Валерий и Roman!
Здесь экстрасенсов нет и Ваши мысли сегодня мне прочитать не удается почему-то.
Все-таки если вы хотите решить проблему, наверное надо постараться описать проблему в более развернутом виде.
На каком этапе что зависает?
Загрузку каких файлов что проводит?
Пробуйте загрузиться в Текстовом режиме!
Сделал все как написано, но как только вставляю флешку, после записи и установки на нее Kaspersky Rescue Disk, комп виснет и в биос не пускает((( причем на работающем компе (без вируса) та же проблема ?! флешка на 16гиг , может большая очень?!
все понял!)))) Флешка была большая! на 1гиговой все получилось!) Спасибо!
Хм. Даже так… Но у меня кстати на 16Гб флешке Apacer нормально все грузилось.
при загрузке с дискакасперского комп на екране высвычивает бегущую инфу и через несколько секьзамирает с двумя полосками (1см)на екране в верху-ноут ASER Extensa 5235.Эта пробоема замечена только на этом компе.На других компах я без проблем удалил вирусы
решил проблему запуском проги
в текстовом режиме
У меня каспер находил его, но лечение и удаление невозможно! (пропустить (рекомендуется)). Я его обновлял, запускал в графике и тексте — ничего не менялось. Решил по-другому: через fixmbr fixboot. Винда загрузилась, теперь сидя в ней шлифую каспером всю систему и без проблем убиваю найденую гадось. Вот так… может такой способ кому-то поможет. Удачи!
Спасибо, помогло))))
Можно восстановить только MBR 0 из любого архива Acronis. Боялся запороть разметку разделов. Проверено многократно, работает. Если архива нет, то создать на любом рабочем компе архив системного раздела, MBR 0 там будет содержаться.
Спасибо! Все получилось, правда с начало подвисалло в графическом режиме. Вышел с ситуации :
зашел сначала в текстовом режиме а потом в нем перевелся в графический. Троян нашло но ище идет проверка диска C/ думаю должно все получится.
5 раз уже проделывал процедуру и всё обламывается на моменте когда я нажимаю энтр в биосе для флешки и он перегружается и опять эта заставка внимание траляля подскажыте пожалуйста иза чего это может быть
вариантов несколько:
1.попробуйте другую флешку.
2.проверьте, точно ли вы выставили флешку на первичную загрузку (в самый верх надо ставить).
3.проверьте, правильно ли записан образ Касперского на флешку.
4.попробуйте загрузиться с этой же флешки на другом компьютере (вообще это для начала надо сделать, и от этого уже плясать)
по поводу лицензии: попробуйте в текстовом режиме загрузиться как многие советуют
аааааааааааааааа!!!!! лицензия !!!!!!! я нажимаю с а она нечё не делает и тупо зависает!
ооо нармуль текстовый режим и пошло мороженое по трубам!
Делаю как тут сказано в десятый раз, но при появляется в углу справа «база устарела»((
Забыл добавить дата выпуска баз 11.12.11
Харошая статейка . Только вот akrush написал что неможет загрузить с диска а вы не разобравшись отправили внимательно читать . А проблема скорее всего состояла в клавиатуре которая к USB подключается . Бывает что она не всостоянии работать при загрузке с диска . Естественно без подтверждений комп запускается с диска C . Совет сменить клавиатуру или же попробовать на материнки переключить питание USB в другое положение. Хотя сомниваюсь что манипуляции с питанием помогут .
сканировал и в граф и в текстовом режыме, вирус есть, только кнопка удалить не активна в граф режыме, в текстовом тож не удаляет, ошыбка, хотя на 2-х компах все было ок, за 3 минути удалил, а тут такая засада, подскажыте…
Огромное спасибо!!! Очень толковая статья!
to Миша
Читайте коменты, а именно пост №14? Это как-раз ваш случай…
а как поточнее разобраться с 14-м постом. порядок действий??
Загрузиться в консоль восстановления Windows, она есть на загрузочных (установочных) дисках Windows, и там в консоли набрать эти команды. Более подробно — здесь
Прошла проверка, но не могло удалить все вирусы. проблема не решилась =(
to destr
пост №14 + 29
я нажимаю проверку,обнаруживает этот троян,оно не лечится,а удалить не высвечивается( ток пропустить всегда остается
Спасибо большое! Удалил эту дрянь быстрее, чем думал! Вот бы еще начистить рожу тому, кто создал ее!
No bootable partiton in table
флешка на 2 гига, что это значит?
Ответ: Попробовать другую флешку, возможно некорректно на этой флешке записан образ. Возможно на этой флешке два раздела и нужно загрузиться с другого
Добрый день. Я проделал все что Вы написали, эту гадость нашло удалило, но какой то абсурд всё тот же экран с той же надписью. Такое по идеи не должно произойти что это может быть?
Ответ: Попробуйте последний вариант, описанный в статье. Статья обновлена.
Спасибо, помогло.
Супер програма! +1000000000000000
что это и как ето сделать? fixmbr fixboot
Нужно внимательно читать статью. В конце статьи — ссылка на подробное описание и использование данных команд.
Огромное спасибо автору, сегодня однокласнице так ноут настроила)
Супер, все сработало с первого раза
У меня проще 2 винта две одинаковые винды ХР, загрузил тот винт который без вируса, Установил Kaspersky Virus Removal Tool, две минуты Trojan-Ransom.Boot.Mbro.d. Не дождавшись полной проверки перешел на винчестер с вирусом бомба его уже НЕТТТТТТТТТТТ!!!!!!!!!!!!!!!!
Попался такой баннер. Решил сразу переустановить виндовс, сделал форматирования обоих дисков теперь при установке винды выбивает ошибку(синий экран)..если ставить загрузку с жостого диска то вылетает этот баннер.Скачал эту прогу,записал на сд, запускаю ничего не грузит.( в биосе стоит загрузда через сидиром…)
Проверьте, корректно ли вы записали диск и запускается ли он корректно на других компьютерах. Проверьте любой другой загрузочный диск — загружается?
В биосе просит код…помогите!!!!)))
2Дмитрий: Попробуйте сбросить все настройки БИОСа. Для этого вытащите батарейку (в виде таблетки) с материнской платы компьютера при выключенном питании и поставьте её обратно примерно через 15секунд… БИОС должен сброситься и в него можно будет зайти и установить все параметры по новому.
Спасибо большое за подсказку. Все удалилось, УРА!! доктор веб не справился, нод32 вообще не нашел ничего)))
Записал Kaspersky Rescue Disk. поставил на проверку загрузочной области и автозапуска. Проверка длилась минуты две. Нашелся троян, вылечил его. Спасибо.
Спасибо! Всё получилось!
У меня эта дрянь на ноуте.
Режимы загрузке в биосе менял много раз, выставлял только СД/ только ЮСБ — 0 эмоций.
выдает сообщение:
Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and pres any key
соответственно подсовывал ему загрузочный диски/флешки разных объемов (cd/dvd)
ответ на все один….
Что посоветуете?
ААА Сасибо огромное!!!!!
Спасибо большое.
Огромное спасибище!!!!!!!
решил проще, грузанулся windows 7, и в консоли востановления
c:
bootrec /fixmbr
bootrec /fixboot
Спасибо, диск от Касперского помог