Новый SMS-вымогатель
 

Новизна заключается в появлении его до загрузки операционной системы. Он подменяет собой загрузчик Windows. Не удается запустить консоль с установочного диска, т.к. не видно установленных операционных систем. Посоветуйте утилиты для принудительного восстановления MBR.

http://support.kaspersky.ru/viruses/rescuedisk?level=2 качайте, сканируйте на наличие буткита.
После запуска LiveCd необходимо будет обновить сигнатурные базы (или создавать диск при помощи продуктов ЛК).

затем
1. Скачайте образ, например: ERD Commander, запишите на болванку и загрузитесь с созданного диска
2. Пуск - Выполнить - erdregedit
3. Посмотрите в реестре:

Ветка

Параметр
AppInit_DLLs

содержимое параметра в сообщении напишите...

Ветка

Значение ключа Shell должно быть таким Explorer.exe если значение отличается - исправить на правильное.

Правильное значения для Userinit это:

По возможности как получится, выложите логи!

Спасибо за помощь. Как поступать дальше я знаю. Надо только восстановить загрузчик.

e_consul, я вам давала ссылку на диск, с помощью которого можно отловить и удалить вредоносные программы, которые получают управление загрузкой операционной системы, т.е. буткиты.

если лень качать и проверяться, тогда почему бы не воспользоваться простым образом дистрибутива?
1. Взять диск с которого устанавливалась винда, вставить в дисковод, перезагрузиться (но прежде желательно установить в BIOS загрузку с CD. [First Boot])
2. Запустить РУЧНУЮ установку винды.
3. Дождаться экрана, где будет приветствие программы установки и выбор трех вариантов, среди которых «Чтобы восстановить Windows XP, с помощью консоли восстановления, нажмите ».
4. Нажать клавишу R
5. Нажать клавишу 1 и Enter, потом ввести пароль администратора (если он был). Потом Enter
6. Ввести команду fixmbr
7. Нажать клавишу Y и Enter
8. Ввести команду exit
9. Установить в BIOS обратно загрузку с харда

SolarSpark, Еще раз спасибо. Вы меня недопоняли. Как раз про диск я все прочитал и поблагодарил Вас. Все дальнейшие действия мне известны. А вот Вы невнимательно прочитали шапку. Консоль не грузится, т.к. не видит операционных систем для восстановления. И еще. Я не чайник. Не надо мне разжевывать материал. Свою пару благодарностей я получил за статью в блоге. Ознакомьтесь - все поймете.

e_consul, очень интересно, ну раз вы не чайник не буду выспрашивать все, хотя для меня здесь есть темные моменты. Итак раз вы четко определили что у вас проблема с MBR то соответственно надо его привести в изначальный вид, задав простой поиск по гуглу мне первым выдало фикс от майкрософта здесь правда для хр я дал, так как не знаю какая у вас система, но думаю если у вас 7 для вас не составит проблем найти инструкцию по фиксу для 7.

Arbitr, Спасибо. Данный совет уже был дан SolarSpark, и я уже на него ответил. Не запускается Recovery Console.

e_consul, при переходе на вашу страницу NOD блокирует соединение с нескольких адресов. Разберитесь, пожалуйста, а ссылку (***.livejournal.com) из сообщения удалите

okshef, Ссылку удалил, но реакция NOD непонятна. У меня Антивирус Касперского 6.0 для Windows Workstations ни на что не ругается.

e_consul, я дал вам совет воспользоваться гуглом, так как лечение вы не хотите проходить, в частности при поиске в гугле можно найти как пофиксить мбр с лайва. так что рекавери консоль здесь не нужна. далее так же можно провести фикс мбр с доса, с него как я понимаю для вас не составит труда вбить пару команд.
а так по вашей теме куча вопросов, например мне не понятно у вас загружается ось в каком либо режиме или нет. судя по загрузка происходит?

Arbitr, загрузка операционной системы не происходит.
Лечение проходить хочу, но http://support.kaspersky.ru/viruses/rescuedisk?level=2 применить еще не могу.
Как только доберусь до пациента - сделаю.
Гугль - великая сила. Но он берет информацию, как раз из таких форумов. Если по всем вопросам в гугль отправлять, эффективность гугля снизится :)

а почему вы вообще решили что проблема с вирусом а не с винтом например?? или просто таблицы накрылись..
в любом случае вам нужен лайв, надо 1 проверить винт, 2 скопировать userinit и првоерить его например на вирустотал. (если сделаете то ссылку на результат проверки приложить) 3 с лайва так же можно дать проверку системы на вируса последними базами.. и потом, восстановить мбр легче всего вам будет с лайва...

e_consul,

Вы или выполняете рекомендации хэлперов или тема будет закрыта !

iskander-k, Arbitr это MBRlock

e_consul, попробуйте коды

Извините за задержку, не закрывайте пока тему, пожалуйста. Еще не добрался до клиента.

Хорошо - ждем.
Скачайте Dr.Web LiveCD http://www.freedrweb.com/livecd/ - должен помочь. Загрузитесь с него проверьте жесткий диск .

Добрый день.
Помог диск аварийного восстановления Kaspersky.
Всем спасибо за помощь.
Неоценимый опыт. :)

лечиться будем?

Спасибо, со всем остальным я уже раньше сталкивался. Что делать, знаю.