Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Разблокировка Windows от SMS-вымогателей

[ Закрыто ] Win32/MBRlock.C троянская программа

1 2 След.
RSS
 
devastator1661
devastator1661
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 23.03.2012
Размещено 24.03.2012 17:25:28
Доброго всем времени суток,наткнулся на эту тему и никак не могу решить проблему с вирусом.Не могли бы вы подробнее расписать эти два пункта:-сделать дамп MBR (сохранить как файл) и проверить данный файл на ВирусТотал;
-выполнить замену загрузчика MBR с помощью Live.CD WINPE&uVS.
Т.е.конкретно расписать последовательность действий к каждому из пунктов.Я просто в этих делах чайник.Заранее благодарен.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 24.03.2012 17:28:38
Тут все подробно описано. Сделайте образ автозапуска в WinPE
http://forum.esetnod32.ru/messages/forum27/topic2102/message18061/#message18061
Правильно заданный вопрос - это уже половина ответа
 
devastator1661
devastator1661
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 23.03.2012
Размещено 25.03.2012 01:08:31
http://filebox.od.ua
Вот,надеюсь правильно.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.03.2012 09:21:22
MBR#1 - это же не основной физический диск, можно было бы очистить без использования Live.CD
----------------
Цитата
Полное имя                  MBR#1 [232,9GB]
Имя файла                   MBR#1 [232,9GB]
Тек. статус                 ?ВИРУС? загрузчик
                           
www.virustotal.com          2012-03-24 [2012-03-24 20:01:26 UTC ( 9 hours, 12 minutes ago )]
Kaspersky                   Trojan-Ransom.Boot.Mbro.d
BitDefender                 Rootkit.MBR.Locker.B
DrWeb                       Trojan.MBRlock.6
Microsoft                   Trojan:DOS/Ransom.B
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      440 байт
                           
Доп. информация             на момент обновления списка
SHA1                        C0E2F4D081296BF0D24EA50DE2F583A0C674B9B1
--------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
fixmbr MBR#1 [232,9GB]
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Изменено: santy - 25.03.2012 09:27:01
[ Как создать образ автозапуска? ]
 
devastator1661
devastator1661
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 23.03.2012
Размещено 25.03.2012 12:50:38
Извиняюсь,я видимо не правильно поставил изначально вопрос.У меня такая проблема:при загрузке системы на рабочем столе или при сканировании Нодом появляется такое окно http://filebox.od.ua Очистить не получается.
Больше ничего не происходит,меня смущает только постоянно выпадающее окно об угрозе.

Вот лог журнала обнаружения угроз http://filebox.od.ua
P.S.Извините,не знаю как тут на форуме прикреплять файлы.
Изменено: devastator1661 - 25.03.2012 12:54:57
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.03.2012 13:18:20
все логи пожалуйста записывать на http://rghost.ru
нам эти 30сек ожидания дороги
Изменено: santy - 25.03.2012 13:18:35
[ Как создать образ автозапуска? ]
 
devastator1661
devastator1661
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 23.03.2012
Размещено 25.03.2012 16:37:53
http://rghost.ru лог журнала
http://rghost.ru скрин окна с угрозой
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 25.03.2012 16:47:29
Цитата
24.03.2012 22:30:27 Модуль сканирования файлов, исполняемых при запуске системы загрузочный сектор MBR-сектор физического диска 0 Win32/MBRlock.C троянская программа MICROSOF-D851EA\Администратор
скрипт выполните в uVS, который для вас написан в сообщение 4
Изменено: santy - 25.03.2012 16:47:46
[ Как создать образ автозапуска? ]
 
devastator1661
devastator1661
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 23.03.2012
Размещено 25.03.2012 18:04:41
После выполнения скрипта,перезагрузки системы, изменений не произошло.При сканировании выдает окно об угрозе.

http://rghost.ru текстовый лог после проверки в малваребайт
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 25.03.2012 18:05:52
в папке с uVS будет текстовый файл - лог выполнения скрипта - выложить его сюда
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему