Trojan-ransom.boot.mbro.d - як перемогти?

Додам ще, що господар стверджував, що викликали майстра неодноразово, і той поставив діагноз, мовляв жорсткого диска «хана», через зношування і поганих секторів - пора міняти. Природно господарі розщедрилися і замінили вінчестер, а з цього хотіли зробити хоч щось, типу великий флешки. Я взагалі-то не прихильник відновлення бед-секторів на дисках, всякими там програмами. Тому, що якщо жорсткий диск почав «сипатися», то ніякими залечівалкамі ситуацію не виправити. А зберігати дані на свідомо несправному носії досить нервенно.

Як зазвичай я почав діагностику з перевірки SMART- статусу мого безнадійного пацієнта. Для цього відключив на своєму комп`ютері все жорсткі диски, під`єднав «хворого», а сам завантажився з диска з утилітами Hiren`s BootCD. До слова, моя материнська плата з працею визначила жорсткий диск, і остаточно зробила це тільки після декількох перезавантажень. Однак коли ж мені все таки вдалося змусити бачитися жорсткий диск в BIOS, і завантажитися з Hiren`s BootCD, я з подивом виявив, що значення параметра Raw Read Error Rate виявилося нульовим, що означало, що диск не має помилок. Мало того, значення параметра Reallocated Sector Count також було на нулі! Тобто диск б в ідеальному робочому стані, і жоден сектор з моменту випуску жорсткого диска на заводі не був заміщений резервним! Для більшої надійності дослідження я запустив утиліту MHDD, і протестував поверхню жорсткого диска. Виявилося, що на ньому були відсутні не тільки збійні кластери, а й навіть повільні. Господаря банально розвели на новий гвинт, подумав я, але чому ж Windows не встановлюється?

Завантажив комп`ютер з диска Linux Ubuntu ...

Перше, що кинулося в очі - це те, що на ввіреному мені пацієнта було аж ... 9 логічних розділів! Навіщо ломастер так розподілив 160 гигов диск, і якими міркуваннями при цьому керувався - залишається загадкою. Кожен розділ був дбайливо позначений міткою, згідно вмісту в нього зберігається. Диск «Система», диск «Фотки», диск «Музика», диск «Відео» і т.д. Усміхнулася з цього ідіотизму, і коротко ознайомившись з вмістом, я помітив, що в кореневій папці кожного логічного диска по дві папки, що належать Кошику: $ RECYCLE.BIN (Говорить, що швидше за все операційна система встановлена Windows 7) і Recycler... Ось Recycler то мене і зацікавив, тому що найчастіше ця папка є улюбленим місцем «проживання» мережевих черв`яків і троянських програм типу Trojan-Ransom. Оскільки завдання зберігати дані у мене не було, крім 4-х Гігабайт фотографій - я без жалю «прибив» всі розділи, крім розділу Фотки, а в ньому самому видалив папки обох кошиків, і System Volume Information, в яку напевно черв`ячок встиг «народити »своїх« дітей »...

Далі, щоб перенести дорогоцінні фотки в затишне місце, і розібратися остаточно з жорстким диском, я вимкнув свій комп`ютер, і приєднав свій системний жорсткий диск, а піддослідного прикрутив як другий жорсткий диск. Як тільки я завантажив комп`ютер, мій Kaspersky Internet Security 2013 почав нестямно волати, мовляв виявлена загроза! нею виявився Trojan-Ransom.Boot.Mbro.d, який блискавично встиг нашкодити і у мене на диску. Причому Касперський хоч і зміг виявити заразу, але після процедури «Лікування активних заражень» вів систему в перевантажити, попутно видаючи якусь «помилку образу», а перезагрузив комп`ютер, починав процедуру спочатку. Спостерігаючи за цим 5-6 разів, я вирішив приструнити неспокійний антивірус, і вчинити радикально - поліз в інтернет, на сайт Касперського ...

Там, на одному з форумів підтримки опублікований код розблокування Trojan-Ransom.Boot.Mbro.d - 8898980, а на сайті virusinfo.info запропонували скачати утилітки від того ж Касперського - tdsskiller.exe. Ось вона мені і допомогла не тільки прибити Trojan-Ransom.Boot.Mbro.d на обох жорстких дисках, а й запропонувала відновити Master Boot Record на них же (моєму і принесеному), ніж я з задоволенням і скористався. Природно після всіх заходів я виконав повну перевірку комп`ютера на віруси, а також зробив «Відновлення після зараження»- інструмент входить до складу антивірусів Касперського.

Після всього цього мій пацієнт ожив. Його стало не впізнати. Я зніс на ньому останній розділ, а фотки поставив назад після створення і форматування нового тому на всю ємність гвинта, як хотів замовник. Господар ще не приходив, а тому не знає, як «розвели» його «умільці». Ну що ж ... буде тепер у нього ще один жорсткий диск. Досить рідко зустрічаються зараз віруси, які вміють записувати себе в головний завантажувальний запис жорсткого диска, і віруси ці вельми підступні. Trojan-Ransom.Boot.Mbro.d - один з таких представників цілого сімейства. Бережіть свої жорсткі диски і не довіряйте приходять умільцям.