Очередной банер-вымогатель

[MrSTEP]

Написать это - одно, но забыть это можно влегкую Я кстати, на вскидку тоже не помню этого пути

 

[Б.Г. Мот]

это с опытом приходит...

 

[MrSTEP]

Да.. И между прочим, немало таких функций и кнопочек, которые без проблем находишь при виде нужных вкладок и панелей, а вот запомнить, что за чем открывается, не можешь Ну ладно, не будем оффтопить.

 

[George Smith]

По моему в Редакторе реестра - HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\
Briecase\shell\open\command ... вот, еле выговорил, там должно быть explorer.exe%1 ...

 

[кочевник]

а это я зачем писал?

А угадай!

 

[sedoy]

то есть это все на этом Rescue диске?

Да, Леш, просто запускаешь Unlocker из пускового меню, пару секунд ... и все. Причем, он напишет, что именно в реестре было исправлено. Насчет ручной правки - на сегодняшний день почти все локеры блокируют вход в безопасном режиме, можно, конечно, загрузиться с LiveCD и править реестр, но с KRD это намного быстрее (не сочтите рекламой ). Только повторюсь, необходимо переписать несколько системных файлов, которые могли быть подменены заразой, иначе после перезагрузки не будет результата.

 

[George Smith]

Олег, Unlocker высветит, где именно эта зараза, чтобы потом удалить?
На счет системных файлов понятно, у меня Рековер ...

 

[-ЗЛОЙ-]

если не ошибаюсь, то в автоматическом режиме это все должна делать AVZ

 

[George Smith]

Новый Касперский Рескуе Диск 10. Образ *.iso 200 метров ...

 

[sedoy]

Олег, Unlocker высветит, где именно эта зараза, чтобы потом удалить?

Сначала сканируешь на вирусы, потом Unlocker правит реестр (в частности проводник explorer.exe, который и подменяет блокировщик и вместо привычного рабочего стола запускает сообщение вымогателя, в принципе, это вся суть блокировщика, больше он никакого вреда не несет) и напишет, какие параметры реестра были им исправлены. Да ты сам попробуй, там все доступно.

если не ошибаюсь, то в автоматическом режиме это все должна делать AVZ

В общем-то, да. Но в KRD это более понятно для обычного пользователя. Ну, и при блокировке, в том числе Безопасного режима, надо еще как-то запустить AVZ.

 

[-ЗЛОЙ-]

прошу помощи!
очередной банер...
Antiy-AVL — Trojan/Boot.Mbro
BitDefender — Rootkit.MBR.Locker.B (Boot image)
Comodo — TrojWare.Boot.Ransom.Mbro.A
DrWeb — Trojan.MBRlock.6 или Trojan.MBRlock.12
Emsisoft — Trojan-Ransom.Boot.Mbro!IK
F-Secure — Rootkit.MBR.Locker.B /(Boot image/)
GData — Rootkit.MBR.Locker.B
Ikarus — Trojan-Ransom.Boot.Mbro
Kaspersky — Trojan-Ransom.Boot.Mbro.a
Sophos — Troj/RnsmMbr-A
-----------------------------------------
на сайтах каспера и вэба подобрать код не удалось...
кошелек U380635741931

 

[AlexZir]

Стартаните с загрузочного диска, восстановите MBR, потом по известному пути - DrWeb LiveCD или Kaspersky Rescue Disc, восстановление реестра, очистка папок временных файлов и кэша браузеров, глубокое сканирование на вирусы вне системы, потом - сканирование системы на вирусы установленным антивирусом со свежими базами.

 

[XELFAER]

для начала проверьте ПК Dr.Web CureIt и потом перезапишите mbr HDD.

 

[AlexZir]

Все-таки сначала надо MBR восстановить, а потом запускать проверку, потому как зараза в загрузочном секторе может блокировать удаление вируса, объявив его только по чтению.

 

[-ЗЛОЙ-]

Стартаните с загрузочного диска, восстановите MBR

проблему надо решить в телефонном режиме... человек врядли сможет восстановить МБР, да и загрузочный диск неизвестно имеется ли...
я вет че думаю: восстановление МБР, а какой командой? fixmbr - это же перезапись (создание)? Не накроется ли вся инфа о разделах?

для начала проверьте ПК Dr.Web CureIt и потом перезапишите mbr HDD

Dr.Web CureIt абсолютно беспомощен в данном вопросе, как и многие другие антивири. Данный совет можно воспринять как ВРЕДНЫЙ ибо 2-3 часа лишнего времени нет ни у кого. Кроме того, чтобы запустить Dr.Web CureIt надо запустить винду, а зараза сидит в МБР!
Я вообще не могу найти инфу о том сканируют ли антивирусы область МБР?

зараза в загрузочном секторе может блокировать удаление вируса, объявив его только по чтению

я не спец, но сомнительно это...
в прошлый раз (см выше) мне код Артем помог подобрать, хотя в списке на сайтах оного не было... вот бы и сдесь так!!!
если же мне принесут комп, то проблем не будет - мона и винду снести и пофиксить с загрузочного диска...

 

[usmfed]

Если это именно то что Вы написали, то
Вот что пишет про данный вирус Лаборатория Касперского:-"Просто зайдите на наш сервис Deblocker и наберите в окно для ввода номера телефона слово: "mbr" (без кавычек). В ответ вы получите код, для разблокировки системы".
А я данный вирус "убивал" LiveCD Kaspersky Rescue Disk 10.
Просто загружаемся с CD и лечим MBR там есть пунктик соответственный.

 

[-ЗЛОЙ-]

наберите в окно для ввода номера телефона слово: "mbr"

спс... но не канает...
выдает код разблокировки для Trojan.MBRlock.14

я данный вирус "убивал" LiveCD Kaspersky Rescue Disk 10.
Просто загружаемся с CD и лечим MBR там есть пунктик соответственный.

надо будет скачать образ про запас

 

[-ЗЛОЙ-]

наш подозреваемый Trojan.MBRlock.12 (по доктору)

 

[usmfed]

Свежий LiveCD и Curelt от "Доктора" ничего не нашли а Каспер сразу поборол.
Бывает и такое.

 

[AlexZir]

Есть же бесплатный HirenBootCD, содержащий множество утилит, в том числе и для бэкапа и восстановления MBR, кто мешает им воспользоваться?