Перейти к содержимому

Перейти
Перейти

Trojan.MBRlock.14 - Ваш компьютер заблокирован за не лицензионное использование ОС Windows

Вирус Блокировка компьютера 880094162262 mbrlock

  • Закрытая тема Тема закрыта
Сообщений в теме: 81

#1   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 21:53

Прошу помочь побороть вирус. Возможно, какая-то новая версия Winlock. По словам пользователя проблема возникла после установки новой версии Flash-плеера по требованию какого-то сайта. Узнать, была ли перезагрузка после этого, не удалось.
Дисплей стал темным и появилась красная (розовая) надпись следующего содержания:

Ваш компьютер заблокирован за нелицезионное использование ОС Windows и программного обеспечения. Все Ваши файлы зашифрованы. Вам необходимо в течении 6 часов оплатить 200 грн через терминал оплаты на номер счета 880094162262 на оператора webmoney (в разделе электронная комерция либо электронные деньги). Терминал распечатает чек, на чеке будет напечатан код авторизации. Введите код в поле ниже и нажмите enter. В случае неразблокировки в течении 6 часов, все данные на компьютеры будут уничтожены. Прошивка BIOS будет повреждена, также возможно повреждение других компонентов компьютера (в том числе оперативной памяти, процессора и других).
Также информация будет отправлена о Вас в правоохранительные органы.

яяяяяяяяяяяяя

12 "я" внизу слева написаны зеленым. Так и неудалось понять, то ли в поле для ввода кода, то ли под ним. Пробовали:
1. ctrl+alt+del -- экран становился черным и по средине появлялась белая полоса. При повторном нажатии комбинации лпять появлялось окно с сообщением.
2. F8, F7, F2, del при загрузке -- никакой реакции (только пищание от многократного нажатия клавиши). Т.е. ни в BIOS, ни в безопасном режиме войти не удалось. Сразу после надписи НР появлялось окно с сообщением, такое ощущение, что еще до загрузки винды.
Все действия по нажатию клавиш проводились пользователем согласно инструкциям по телефону.
3. Сайты антивирусных компаний на такой номер счета код не генерируют (Dr.Web, Eset NOD32, Kaspersky), в базе скриншотов с известными окнами Winlock такой текст обнаружен не был.
4. Выбранные из баз антивирусников коды для темных окон с красным (но другим) текстом не подошли:
4443535
1200003
DBFY6X67VJ
3369022
6565438
38724651
JRL9D9H6WR53KR4EY74JWI3GT
JRL9D9H6WR53KR4EY74JWI3GL
QRT5T5FGWE53BRXT9HHJW53YT

Возможно, кто-то сталкивался, прошу подсказать решение проблемы. В идеале, чтобы пользователь самостоятельно мог справиться с задачей, но если нет идеального решения, интересует любое.

З.Ы. В тексте сообщения так и написано: "компьютеры".
  • 0

Услуги программиста 1С


#2   Alex729

Alex729

      Лейтенант

    • Пользователи
    • PipPip
    • Сообщений: 74
    • Регистрация: 17-February 09

Отправлено 18 April 2012 - 22:06

Возможно, кто-то сталкивался, прошу подсказать решение проблемы. В идеале, чтобы пользователь самостоятельно мог справиться с задачей, но если нет идеального решения, интересует любое.


Одно из решений Загрузка CD:
Dr.Web® LiveCD

http://www.freedrweb.com/livecd/

или
Kaspersky Rescue Disk

http://www.kaspersky.ru/virusscanner

Все остальные варианты не помагали.
  • 1

#3   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 22:09

А как зайти в биос, чтобы задать загрузку с CD?
  • 0

Услуги программиста 1С


#4   dobruan

dobruan

      Генерал-майор

    • Пользователи
    • PipPipPipPipPipPipPip
    • Сообщений: 344
    • Регистрация: 15-February 10
    • Откуда:Закарпатская Область , Украина

Отправлено 18 April 2012 - 22:12

При перезагрузке компа нажать у кого Del, у кого F2. При загрузке пишет какую клавишу нужно жать для входа в биос(Press "клавишу" to enter BIOS, как-то так ^_^ )

Сообщение отредактировал dobruan: 18 April 2012 - 22:25

  • 0
Конфигурація ПУБ, ЗіК, трохи Бухгалтерський облік. Все 7.7.
Бухгалтером працюю, може стану програмістом 1с, колись :-)

#5   pepe

pepe

      Генерал-полковник

    • Пользователи
    • PipPipPipPipPipPipPipPipPip
    • Сообщений: 1148
    • Регистрация: 12-April 08
    • Откуда: , ,

Отправлено 18 April 2012 - 22:23

А как зайти в биос, чтобы задать загрузку с CD?

Зависит от биоса. При загрузке может быть сообщение о входе в биос. Стандартные клавиши - "Del", "F2", могут быть другие или комбинации.
Если при загрузке не начинается загрузка винды (бегущая полоска), а сразу появляется сообщение - вирус в бут-секторе. Лечение: загрузка с внешнего носителя и Доктор-веб (cureit). Если под виндой: загрузка с внешнего носителя, удаление инфы из папок Темр и кеша браузеров, подключение регистра больной системы, просмотр ветки загрузки (winlogon), нет ли подмены userinit или shell. Встречал варианты маскировки файлов под системные (замена латинской i на украинскую, с лат на с рус..). Да и сканирование всего винта на вирус под внешней системой не помешает.
Скайп подлючи.

Сообщение отредактировал pepe: 18 April 2012 - 22:27

  • 1
Спасибо не надо, помог - есть "+" в репутацию.

#6   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 22:27

При перезагрузке компа нажать у кого Del, у кого F2.

В первом посте написано, что никакой реакции на нажатие этих клавиш. Моментально темное окно с красной надписью.
  • 0

Услуги программиста 1С


#7   dobruan

dobruan

      Генерал-майор

    • Пользователи
    • PipPipPipPipPipPipPip
    • Сообщений: 344
    • Регистрация: 15-February 10
    • Откуда:Закарпатская Область , Украина

Отправлено 18 April 2012 - 22:32

В первом посте написано, что никакой реакции на нажатие этих клавиш. Моментально темное окно с красной надписью.

а если снять винчестер и на другой машине проверить на наличие вирусов?
  • 1
Конфигурація ПУБ, ЗіК, трохи Бухгалтерський облік. Все 7.7.
Бухгалтером працюю, може стану програмістом 1с, колись :-)

#8   Alex729

Alex729

      Лейтенант

    • Пользователи
    • PipPip
    • Сообщений: 74
    • Регистрация: 17-February 09

Отправлено 18 April 2012 - 22:33

Я не учел, что данные зашифрованы. В этом случае (под данными понимаются файлы DOC, TXT, DBF, JPEG и т.п.) после восстановления винды и удаления мешающих сообщений, открыть базы данных, фото или документы будет невозможно. На практике уже проверено.
  • 1

#9   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 22:39

а если снять винчестер и на другой машине проверить на наличие вирусов?

В данный момент нет другой машины рядом, есть только этот ноут. Если до завтра не разберемся, то так и сделаем.
  • 0

Услуги программиста 1С


#10   dobruan

dobruan

      Генерал-майор

    • Пользователи
    • PipPipPipPipPipPipPip
    • Сообщений: 344
    • Регистрация: 15-February 10
    • Откуда:Закарпатская Область , Украина

Отправлено 18 April 2012 - 22:41

Интересные ссылки https://www.drweb.com/xperf/unlocker/ и http://sms.kaspersky.ru/. Это адреса для подбора кода деактивации.
  • 0
Конфигурація ПУБ, ЗіК, трохи Бухгалтерський облік. Все 7.7.
Бухгалтером працюю, може стану програмістом 1с, колись :-)

#11   Alex729

Alex729

      Лейтенант

    • Пользователи
    • PipPip
    • Сообщений: 74
    • Регистрация: 17-February 09

Отправлено 18 April 2012 - 22:43

а если снять винчестер и на другой машине проверить на наличие вирусов?


вирусов не обнаружит ни один антивирусник, так как небыло никакого заражения, пользователь сам запустил процедуру шифрования и блокирования.
Если я удаляю файлы или форматирую винт, или шифрую данные - антивирусники ведь не "кричат" что я вирус :)
  • 0

#12   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 22:44

В первом посте написала, что это уже пройденный этап. Даже все картинки из базы пересмотрела -- аналогичной надписи не нашла.
  • 0

Услуги программиста 1С


#13   dobruan

dobruan

      Генерал-майор

    • Пользователи
    • PipPipPipPipPipPipPip
    • Сообщений: 344
    • Регистрация: 15-February 10
    • Откуда:Закарпатская Область , Украина

Отправлено 18 April 2012 - 22:46

В первом посте написала, что это уже пройденный этап. Даже все картинки из базы пересмотрела -- аналогичной надписи не нашла.

Уже прочитал .... про неудачную деактивационный ключ
  • 0
Конфигурація ПУБ, ЗіК, трохи Бухгалтерський облік. Все 7.7.
Бухгалтером працюю, може стану програмістом 1с, колись :-)

#14   dobruan

dobruan

      Генерал-майор

    • Пользователи
    • PipPipPipPipPipPipPip
    • Сообщений: 344
    • Регистрация: 15-February 10
    • Откуда:Закарпатская Область , Украина

Отправлено 18 April 2012 - 22:57

На ноуте клавише Esc для входа в БИОС. Не встречал еще такого что б нет можно было в БИОС войти...
  • 2
Конфигурація ПУБ, ЗіК, трохи Бухгалтерський облік. Все 7.7.
Бухгалтером працюю, може стану програмістом 1с, колись :-)

#15   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 23:00

вирусов не обнаружит ни один антивирусник, так как небыло никакого заражения, пользователь сам запустил процедуру шифрования и блокирования.

Надеюсь, такого не было, и это просто пугающая надпись. В противном случае будет не радостно.
  • 0

Услуги программиста 1С


#16   Alex729

Alex729

      Лейтенант

    • Пользователи
    • PipPip
    • Сообщений: 74
    • Регистрация: 17-February 09

Отправлено 18 April 2012 - 23:04

Надеюсь, такого не было,


бЫЛО:

По словам пользователя проблема возникла после установки новой версии Flash-плеера по требованию какого-то сайта


  • 0

#17   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 18 April 2012 - 23:19

Я ж не спорю, а просто надеюсь. Возможно, под видом плеера был установлен вирус, который выдает такое сообщение, и это не значит, что происходило шифрование.
  • 0

Услуги программиста 1С


#18   ivisor

ivisor

      Генералиссимус

    • Пользователи
    • PipPipPipPipPipPipPipPipPipPip
    • Сообщений: 1438
    • Регистрация: 06-March 08
    • Откуда:Планета Земля

Отправлено 19 April 2012 - 15:45

1. Отключи жесткий диск и сидиром (выткни шнуры) и попробуй стартануть комп без них.
Если надпись появится - значит действительно заражен биос (но я такого не встречал НИ РАЗУ :) )
Если же такой надписи нет - значит заражен не биос.
Тогда нужно все таки попасть в биос (обычно при загрузке на первом стартовом экране пишется какую кнопку жать - правда на аглицком) и установить загрузку с СД. Нужно добится запуска с СД.

Далее загружается любая портабельная операционка и вся нужная инфа сливается на резервный носитель (я на свой внешний жесткий лью)

Когда все "спасено" :) можно тупо переустановить винду удалив все разделы с диска, создав их заново и отформатировав(т.к. такя вирусня может сидеть в MBR).

Можно и по мучится.
Запустить инсталяху винды но выбарть не установку а консоль восстановления (по кнопке R)и от туда запустить сначала FIXMBR а потом FIXBOOT C:
Это если вирус прописался в MBR - главную загрузочную запись винта.

Если же вирус подменил собой проводник - тогда проверяем ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
должно быть Shell = Explorer.exe
(для этого нужна прога которая умеет читать файл реестра ОС "извне")

Кроме того из под портабельной операционки нужно поудалять все файлы (в т.ч. и скрытые) в папках
C:\Documents and Settings\ [имя пользователя] \Главное меню\Программы\Автозагрузка
C:\Documents and Settings\ [имя пользователя] \Local Settings\Temporary Internet Files
C:\Documents and Settings\ [имя пользователя] \Local Settings\Temp

Для всех пользователей
и C:\WINDOWS\Temp

ИМХО если софта на компе не много - быстрее переустановить винду, чем лечить.

Сообщение отредактировал ivisor: 19 April 2012 - 15:51

  • 2

#19   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 19 April 2012 - 17:36

Спасибо всем за участие и помощь!
Наконец-то комп у меня в руках. В биос зайти получилось по Esc, записала диск Dr.Web® LiveCD и загрузилась с него. Запустила сканирование и вот уже полчаса сканируется. Когда будут результаты, напишу.
Согласна, что переустановить винду проще, но так ведь неинтересно :)
  • 0

Услуги программиста 1С


#20   5_kopeek

5_kopeek

      Генерал-лейтенант

    • Пользователи
    • PipPipPipPipPipPipPipPip
    • Сообщений: 608
    • Регистрация: 31-January 11
    • Откуда:Украина

Отправлено 19 April 2012 - 18:51

Вот так выглядит эта гадость:

Прикрепленный файл  WinLOCK.jpg   433.03К   49 Количество загрузок:

Тестирование закончилось: вирусы не обнаружены :)
  • 0

Услуги программиста 1С





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных