73 ответов в этой теме

[Руслан Пичиенко]

При включении компьютера появляется текст о порнографии и требованием уплатить 500р на номер телефона мтс 8-985-990-88-61. в случае отказа угроза удалить безвозвратно содержимое компьютера.

Загрузки LivеCD DrWeb, Nod32, Касперского не привели ни к чему: то есть распознается и проверяется только дисковод, флешка, и некий диск В на который загружается сам Live.

Поиск в интернете привел к нахождению некой программы Universal Virus Sniffer - http://dsrt.dyndns.org/uvs.htm для лечения загрузочных вирусов. с ее помощью был удален файл начинающийся на MBR#0. Правда не с диска С, а с некого диска X на котором был запущен Alkid LivеCD и из под которого была открыта флешка с UVS.

Текст с требованием денег при загрузке исчез но появилось следующее: Reboot and Select proper Boot device or Insert Boot Media in selected Boot device and press key.

Повторные загрузки LivеCD DrWeb, Nod32, Касперского опять бесполезны (распознается и проверяется только дисковод, флешка, и некий диск В на который загружается сам Live).

Решил переустановить Виндос, благо у меня три логических диска на винчестере: С (рабочая винда),D (резервная,не раз спасала когда на рабочей вирусы заводились),E (информация)

В начале переустановки вижу сообщение о неразмеченной области объемом с весь винчестер, естественно паника. Получается что гадский вирус разрушил всю файловую систему на винчестере? Помогите советом!!!!

[pig]

Поздравляю. Несите аппарат в сервис, влруг сумеют разбивку диска восстановить. Здесь вам ловить уже нечего, зверь убит, поэтому узнать у него, куда он ценную информацию попрятал, возможным не представляется.

[dukeflid]

Вчера словил такого же зверя.
А без сервиса, может кто посоветует что попробывать?

[mrbelyash]

Перевести дату в биосе на 1 год вперед

[As112kol]

Перевести дату в биосе на 1 год вперед

Не пойму, а почему это часто помогает?

[mrbelyash]

Перевести дату в биосе на 1 год вперед

Не пойму, а почему это часто помогает?

Вазонез не разобрался в чужом коде и натупил при написании бюлдера

[NTKe]

Здравствуйте, похожая ситуация. Вирус загружается до загрузки ОС.
Просит положить 500 р. на счет абонента МТС 89161988713.
При загрузке EDR Commander жестких дисков не видно. При загрузке ОС Ubuntu с usb flash я тоже не увидел жестких дисков. Запустив GParted я увидел неразмеченую область на весь жесткий диск. Что с этим можно сделать? И где находиться сам вирус?

[Borka]

Вирус сидит MBR. Перевод даты веред-назад не помогает?

[As112kol]

Перевести дату в биосе на 1 год вперед

Не пойму, а почему это часто помогает?

Вазонез ... .....бюлдера

Я так и думал. Просто хотел удостоверится

[NTKe]

Вирус сидит MBR. Перевод даты веред-назад не помогает?

Перевод даты не помогает. Проблему я уже решил. Если кому надо, могу рассказать как.

[alexawka]

Ну и как же ? уже все хотят услышать

Сообщение было изменено alexawka: 20 Ноябрь 2011 - 14:54

[alexawka]

99854573 этот код попробуйте должен подойти )

[dukeflid]

Итак, друзья ни один из выше перечисленных способов не помогает.
Перевод дат, на год и на два, в обе стороны не помогли.
Код тоже не подошел.
Проверены так же все типовые коды, которые дает разблокировщик.

Какие еще будут идеи?

NTKe какое средство вам помогло???

[userr]

dukeflid,
то есть Вы пробовали загрузку с различных LivеCD и не можете получить при этом доступ к жесткому диску?

[dukeflid]

Совершенно верно. Bart PE, KAV, Ubuntu бесполезны). Думаю попробовать родной диск с командами fixboot, fixmbr

[k.nikolenko]

Т.к. у вас после всех манипуляций затерт MBR и таблица разделов, то соответственно смонтировать linux их не может. Поэтому грузитесь с livecd drweb, открывайте консоль и пишите

dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc

Это копирует второй сектор диска (где лежит оригинальный mbr) на место первого.
Если это был Trojan.MBRLock.6, то после перезагрузки компьютер запустится. Если 14, то mbr этот зашифрован и тогда заново загрузившись с livecd укажите of=./mbr.bin и выложите здесь аттачем

P.S.
Важно! Я бы не советовал применять сразу указанный выше способ, тк можно затереть нужные данные (ключ для дешифрации оригинального mbr). Сначала следует выполнить следубщее
1)Загрузившись с livecd/liveusb drweb запустите сканер и проверьте им MBR. Если он в базе есть, то и вылечить он сам сможет
2)Если не смог, то для начала сделайте backup первого и второго сектора
sudo dd if=/dev/sda of=./mbr_backup.bin bs=512 count=2 skip=0
И скопируйте этот файл на флэш-накопитель, или на файло-обменнике
3)Проверяем а есть ли во втором секторе чистый оригинальный MBR
sudo dd if=/dev/sda of=./sector2.bin bs=1 count=2 skip=1022
cat ./sector2.bin | hexdump -x
Если вывелась последовательность 0x55 0xAA, то можно копировать, как указано в начале

Сообщение было изменено k.nikolenko: 22 Ноябрь 2011 - 15:06
дополнение инструкции

[mrbelyash]

Совершенно верно. Bart PE, KAV, Ubuntu бесполезны). Думаю попробовать родной диск с командами fixboot, fixmbr

боюсь не поможет...скажет что у вас нет установленых систем и диск не форматирован.
нужно аналитиков спрашивать...что и где и как в секторе исправлять руками

[dukeflid]

Т.к. у вас после всех манипуляций затерт MBR и таблица разделов, то соответственно смонтировать linux их не может. Поэтому грузитесь с livecd drweb, открывайте консоль и пишите

dd if=/dev/sda of=/dev/sda bs=512 count=1 skip=1 seek=0 conv=notrunc
Это копирует второй сектор диска (где лежит оригинальный mbr) на место первого.
Если это был Trojan.MBRLock.6, то после перезагрузки компьютер запустится. Если 14, то mbr этот зашифрован и тогда заново загрузившись с livecd укажите of=./mbr.bin и выложите здесь аттачем

А с live usb получится тоже самое? На нетбуке привода нет...(

[k.nikolenko]

любой linux дистрибутив, который может загрузиться без участия жесткого диска. Если это будет ubuntu, то перед dd добавьте команду sudo
sudo dd...

[Borka]

k.nikolenko, есть предложение на всякий случай сохранить оригинал мастер-бута. На всякий случай.