Trojan-Ransom.Boot.Mbro.d — как победить?

Добавлю еще, что хозяин утверждал, что вызывали мастера неоднократно, и тот поставил диагноз, мол жесткому диску «хана», из-за износа и плохих секторов — пора менять. Естественно хозяева раскошелились и заменили винчестер, а из этого хотели сделать хоть что-то, типа большой флешки. Я вообще-то не сторонник восстановления бэд-секторов на дисках, всякими там программками. Потому, что если жесткий диск начал «сыпаться», то никакими залечивалками ситуацию не исправить. А хранить данные на заведомо неисправном носителе довольно нервенно.

Как обычно я начал диагностику с проверки SMART- статуса моего безнадежного пациента. Для этого отключил на своем компьютере все жесткие диски, подсоединил «больного», а сам загрузился с диска с утилитами Hiren’s BootCD. К слову, моя материнская плата с трудом определила жесткий диск, и окончательно сделала это только после нескольких перезагрузок. Однако когда же мне все таки удалось заставить видеться жесткий диск в BIOS, и загрузиться с Hiren’s BootCD, я с удивлением обнаружил, что значение параметра Raw Read Error Rate оказалось нулевым, что означало, что диск не имеет ошибок. Мало того, значение параметра Reallocated Sector Count также было на нуле! То есть диск бы в идеальном рабочем состоянии, и ни один сектор с момента выпуска жесткого диска на заводе не был замещен резервным! Для пущей надежности исследования я запустил утилиту MHDD, и протестировал поверхность жесткого диска. Оказалось, что на нем отсутствовали не только сбойные кластеры, а и даже медленные. Хозяина банально развели на новый винт, подумал я, но почему же Windows не устанавливается?

Загрузил компьютер с диска Linux Ubuntu…

Первое, что бросилось в глаза — это то, что на вверенном мне пациенте было аж… 9 логических разделов! Зачем ломастер так распределил 160 Гиговый диск, и какими соображениями при этом руководствовался — остается загадкой. Каждый раздел был заботливо помечен меткой, согласно содержимому в нему хранящемуся. Диск «Система», диск «Фотки», диск «Музыка», диск «Видео» и т.д. Поулыбавшись с этого идиотизма, и кратко ознакомившись с содержимым, я заметил, что в корневой папке каждого логического диска по две папки, принадлежащие  Корзине: $RECYCLE.BIN (говорящая, что скорее всего операционная система установлена Windows 7) и Recycler… Вот Recycler то меня и заинтересовал, так как зачастую эта папка является излюбленным местом «проживания» сетевых червей и троянских программ типа Trojan-Ransom. Поскольку задачи сохранять данные у меня не было, кроме 4-х Гигабайт фотографий — я без сожаления «прибил» все разделы, кроме раздела Фотки, а в нем самом удалил папки обеих корзин, и System Volume Information, в которую наверняка червячок успел «нарожать» своих «деток»…

Далее, чтобы перенести драгоценные фотки в укромное место, и  разобраться окончательно с жестким диском, я выключил свой компьютер, и подсоединил свой системный жесткий диск, а подопытного прикрутил как второй жесткий диск. Как только я загрузил компьютер, мой Kaspersky Internet Security 2013 начал истошно вопить, мол обнаружена угроза!  Ею оказался Trojan-Ransom.Boot.Mbro.d, который молниеносно успел набедокурить и у меня на диске. Причем Касперский хоть и смог обнаружить заразу, но после процедуры «Лечение активных заражений» уводил систему в перезагруз, попутно выдавая какую-то «ошибку образа», а перезагрузив компьютер, начинал процедуру сначала.  Понаблюдав за этим 5-6 раз, я решил приструнить беспокойный антивирус, и поступить радикально — полез в интернет, на сайт Касперского…

Там, на одном из форумов поддержки опубликован код разблокировки Trojan-Ransom.Boot.Mbro.d - 8898980, а на сайте virusinfo.info предложили скачать утилитку от того же Касперского - tdsskiller.exe. Вот она мне и помогла не только прибить Trojan-Ransom.Boot.Mbro.d на обоих жестких дисках, но и предложила восстановить Master Boot Record на них же (моем и принесенном), чем я с удовольствием и воспользовался. Естественно после всех мероприятий я выполнил полную проверку компьютера на вирусы, а также сделал «Восстановление после заражения» — инструмент  входящий в состав антивирусов Касперского.

После всего этого мой пациент ожил. Его стало не узнать. Я снес на нем последний раздел, а фотки водрузил назад после создания и форматирования нового тома на всю емкость винта, как хотел заказчик. Хозяин еще не приходил, а потому не знает, как «развели» его «умельцы».  Ну что же… будет теперь у него еще один жесткий диск. Довольно редко встречаются сейчас вирусы, умеющие записывать себя в основную загрузочную запись жесткого диска, и вирусы эти весьма коварны. Trojan-Ransom.Boot.Mbro.d  - один из таких представителей целого семейства.  Берегите свои жесткие диски и не доверяйте приходящим умельцам.

Удачи!

Автор: Игорь Ядловский


Автор: Дмитрий Матвеев

Комментарии:

Поделитесь ссылкой с друзьями


15 Вопросов и ответов Trojan-Ransom.Boot.Mbro.d — как победить?

  1. Святослав Степанов:

    С удовольствием прочитал, интересная история!

  2. Святослав Степанов:

    Здравствуйте, Игорь. Извините, что пишу не по теме. Так вот, у меня на ноутбуке некоторые игры ужасно тормозят, например: Dishonored, Assassin’s Creed Revelations. Запускаю на низких настройках, но всё равно тормозят! Нотбук — Samsung, операционная система — windows 7 домашняя расширенная, процессор — intel core i5 (2,3 Ггц), видеокарта — nvidia 330M, оперативная память 3ГБ. Дефрагментацию делал с помощью auslogics disk defrag, комьпьютер чистил с помощью auslogics boost speed и ccleaner, ready boost включал на 4Гб и на 32Гб, никакого результата! Помогите пожалуйста!

    • Здравствуйте уважаемый Святослав!

      Auslogics boost speed, и Сcleaner — на мой взгляд самые большие враги производительности компьютера… Об их разрекламированной сомнительной эффективности ходят по Интернету мифы. Как на самом деле ведут себя эти программы, описывал здесь. Если вам не помогают советы по убыстрению Windows 7, расположенные в этой статье. Тогда следует посмотреть, насколько нагружен ваш ноутбук сторонними процессами и сервисами, загружаемыми по умолчанию с Windows. Проверить это можно заглянув в системный трей (треугольничек такой в нижнем правом углу экрана на Панели задач, после указателя языка клавиатуры — RU). Если там много программок — имейте в виду, что все они загружают память, процессор, и очередь доступа к жесткому диску…

      Еще можно правой кнопкой мышки кликнуть на Панели задач, запустить Диспетчер задач, и посмотреть — сколько там у вас процессов запущено. Если более 60-ти — это явно многовато для вашего ноутбука. Придется отключать программы, торренты там всякие, агент майл.ру, аськи, скайпы и все, что у вас поназапущено…

  3. Святослав Степанов:

    Спасибо, я уже попробовал всё в вашей статье, место на диске почистил и т.д. Открытых программ кроме eset-а нет, а процессов 62, не знаю, что делать. Но всё равно большое вам спасибо, что рассказали о Ccleaner и Auslogics Boost Speed.

    • Святослав, все понятно!
      Игра то не по вашему ноутбуку!

      Минимальные системные требования игры Dishonored:
      Операционная система: Windows Vista или Windows 7 (нормально)
      Процессор: 3.0 GHz Dual-core (или более мощный) (у вас скорее всего меньше частота)
      Оперативная память: 4 GB (у вас всего 3 Гб…)
      Свободное место на HDD: 9 GB (нормально)
      Видеокарта: DX9-совместимая с 512 MB Video RAM (NVIDIA GeForce GTX 460, AMD/ATI Radeon HD 5850) или более мощная (видеокарта у вас слабая!)

      С игрой Assassins Creed Revelations ситуация получше… Но все же не на ноутбуках такие тяжелые игры запускать нужно…

  4. Святослав Степанов:

    Спасибо большое, а то я растяпа даже не посмотрел системные требования!

  5. Вячеслав:

    Подобных кодов разблокировки существует уже несколько. У меня похожая ситуация с этим вирусом была вчера.
    Лечил следующим образом: скачал последний rescue disk от Касперского, загрузился с него, обновил базы. Проверил весь диск. Найден был один вирус, который спокойно уничтожился. Trojan-Ransom.Boot.Mbro.d удалить этим способом не смог.
    Загрузился с ERD c Windows 7 x64 и сделал восстановление MBR.
    Всё, вируса нет.

  6. Андрей:

    Как всегда интересная и познавательная статья большое спасибо!!!

  7. Sergey:

    Uvazhaemiy Igor! Podskazite popodrobney kak ubrat virus ( C:/windows/ system.32/ svchost.exe 516. U menya kom ASUS, Intel core i3-2350m CPU, 2,30GH, 4,0GB RAM, Intel, HD Graphicas Familiy, komp ne rusefizirovan , vse na ispanskom, stoit lezinzionniy Windows7. ustanovlen besplatniy antivirus COOMODO internet Securiti.

    • Здравствуйте Sergey!
      Зайдите на офсайт и скачайте Kaspersky Virus Removal Tool 11, запустите его, следуйте подсказкам, касперский сделает все сам, вам только нужно будет одобрить его действия.
      Удачи!.

  8. Сергей Большаков:

    Большое спасибо Вам, Игорь! С Вашей помощью удалось убить гада! Больше ничего не помогало.

  9. Марина:

    Антивирусник просканировал ПК и выдал такую инфу:оперативная память =dwm.exe(260) модифицированный Win32/ciavax.A троянская программма- очистка невозможна.Что делать?

  10. пётр:

    очень хорошая и полезная информация.редко встречаеш умных людей которые ещё и поделяться своим умом. СПАСИБО ИГОРЬ.

Добавить комментарий

Ваш e-mail не будет опубликован.

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Top