К чему я все это писал. А к тому, что впервые столкнулся с вирусом, который залез прямо в загрузочную область MBR До этого о таком только в книжках читал. А еще хотел порекомендовать Лайв-сиди от Касперыча — он на этот раз нашел то, чего даже Доктор не смог
Кстати, кто-то говорит, что в MBR код разблокировки прописан, и виден невооруженным глазом.
Kaspersky — Trojan-Ransom.Boot.Mbro.a
Ikarus — Trojan-Ransom.Boot.Mbro
GData — Rootkit.MBR.Locker.B
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
DrWeb — Trojan.MBRlock.6
Comodo — TrojWare.Boot.Ransom.Mbro.A
BitDefender — Rootkit.MBR.Locker.B (Boot image)
Antiy-AVL — Trojan/Boot.Mbro
А вот как этот вирус зовется у других антивирусов:
Между прочим, иногда есть смысл не мучиться с вирусами и продать свое старое железо, а потом купить в магазине МобилЛак. Выбор там богатый, а цены радуют.
Загрузился с помощью него, проверил загрузочный сектор. Хоп! Нашел зловреда Trojan-Ransom.Boot.Mbro.a. Подлечил. Хорошо подлечил, даже MBR не пришлось восстанавливать
Поначалу я проверял в течение 6 часов комп с помощью . Безрезультатно. Нашел 19 дряней, но загрузка все равно не шла из-за прописанного в MBR вируса. Потом полез с пиратского левого диска XPE смотреть реестр — тоже все чисто, исключая старые остатки от вирусни, но они были неопасны. Позже я стал гуглить… И наткнулся на Лайв-сиди . Основан он все на том же Linux Gentoo — узнаю родимые поля, что называется
Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементми педофилии, деского порно, гей-порно. Для снятия блокировки Вам необходимо оплатить штраф в размере 500 рублей. Для этого, в любом терминале оплаты, пополните счет абонента БИЛАЙН 89099715170 на указанную выше сумму. В случае оплаты суммы равной штрафу, либо превышающей ее, на фискальном чеке терминала Вы найдете код разблокировки. Его нужно ввести в поле в нижней части окна. После снятия блокировки Вы должны удалить все материалы, содержащие элементы насилия и педофилии. В случае отказа от оплаты, все данные на вашем персональном компьютере будут безвозвратно уничтожены.
Вроде бы все стандартно: СМС-блокер как всегда просит денег кинуть на счет. Есть одно НО: как оказалось, он прописан еще в MBR, и мои вялые попытки найти зловреда в реестре через Userinit оказались бесполезны. Вот, кстати, фото и сам текст, что он пишет (орфография и пунктуация этого грамотея сохранена):
Как обычно, принесли мне компьютер завирусованный на лечение
Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6
Лечим Trojan-Ransom.Boot.Mbro.a / Trojan.MBRlock.6 | ram32's lair
Комментариев нет:
Отправить комментарий