Вирус майор что это

Обновлено: 22.04.2024

1.Перезагружаем пк раз в 4 минуты (Если у вас крови на донышке то перезагружайте пк срочно! она восстановится)

1.PowerShell,Procces hacker,Диспетчер задач будут заблокированы т.е вирус шифрует файлы так,что при запуске их появляется синий экран смерти (в самих файлах прописана команда taskill explorer.exe) - полную команду оставлять не буду,чтобы мамкины хацкеры не навредили другим:)
2.Программа ArtMoney Pro v7.45.1 (или новее (как предпочтете)) об этой программе знает малое количество людей.Вообще это программа схожа по значению Cheat Engine но фишка ArtMoney Pro в том то,что ее способность внедрять .dll читы и самая главная способность это программа может и завершать процессы и вот в этом вся и фишка то,что вирус думает,что вы открыли не диспетчер задач,не антивирус,а прогу для игр:) но на самом деле это не так.

Запускаем прогу и возле строчки "выбери процесс" ищем 3 точки и нажимаем их.Появляется окно нажимаем сканировать,а после этого процессы.Появились все запущенные процессы (логично) и находим файл (tobi0a0c.exe) наводим курсорам на него кликаем правую кнопку мыши и нажимаем ОСТАНОВИТЬ ПРОЦЕСС!.Теперь снова наводим курсор мыши на tobi0a0c.exe и теперь нажимаем 2 раза левой кнопкой мыши (видим путь) обычно это - C:/Windows/winbase_base_procid_none/secureloc0x65/tobi0a0c.exe (если путь другой то смотрите вторую строчку в EPROCESS).

Переходим по рассположению который был указан в EPROCESS.И там будут файлы выделяем и удаляем их все которые невозможно удалить не удаляем и после этого перезагружаем ваш пк и после перезагрузки у вас высветится не удалось найти файл сценария бла бла бла бла и теперь так же переходим по этому пути по которому мы переходили до загрузки и удаляем остатки вирус.Все

И так мы удалили эти все файлы которые отвечали за автозапуск вируса,за музыку,и за все остальное,а тот файл который не удалось удалить это файл который отвечает за кровь и после перезагрузки он не сможет запуститься из-за отсутствия файлов который запускают сам вирус.

MrsMajor.exe - троян, созданный Elektro Berkay в 2017 году.


Та самая госпожа Майор

Описание

Первая версия

После того, как пользователь открывает файл, он запускает Windows Media Player, а затем перезапускает систему. При запуске фон рабочего стола меняется на изображения черепов, а значки файлов также заменяются на черепа. Как только система будет полностью загружена, на экране появляется мигающее и движущееся изображение девушки, названной г-жой Майор.

Вторая версия

При запуске файла, высвечивается соглашение о том, что пользователь согласен использовать троян. Нажав на "Согласен", компьютер перезапускается. После этого, рабочий стол становится чёрным, а весь рабочий стол забивается файлами "HUMANS ARE TASTY". Спустя какое-то время, появляется окно с госпожой Майор, таймером на 5 минут и кнопкой "Показать правила". При нажатии на последнюю, появятся сами правила:

Ваш компьютер заражён вирусом MrsMajor

Если вы не будете следовать правилам, ваш компьютер станет мусором

1. Если время на таймере вируса закончится, компьютер больше не включится.

2. Если вы попытаетесь завершить процесс, компьютер сдохнет.

3. Не удалять никаких файлов вируса.

4. Удалить все антивирусы, т.к. они могут удалить вирус

5. Не запускать диспетчер задач, командную строку, Sethc.

6. Не запускать компьютер в безопасном режиме.

7. Не удалять ключи через msconfig и т.д.

Иначе ваш компьютер не сможет больше запуститься.

Если таймер истечёт или вы нарушите правила, появится красный экран смерти. Код ошибки: TROJANS_NEVER_JOKE_RESPECT_THE_TROJANS

Это — хорошая статья Анти-Скримеры вики. Она неоднократно проверялась опытными участниками вики, следовательно, она подробно и хорошо рассказывает об описанном предмете.

Прежде чем редактировать её, подумай, .

Статья Trojan.MrsMajor.exe рекомендуется к защите от редактирования.

Russian-speaking Users, please pay attention!

This article provides the name and description of the virus-screamer of foreign origin. Concerned Users have already written its translation.

Hover your mouse cursor over non-Russian words and their secret will be revealed to you in half a second.


Trojan.MrsMajor.exe (также известен как BossDaMajor.exe) — троян для Microsoft Windows, созданный Elektro Berkay. Данный троян был создан в 2017 году в Турции и до сих пор иногда обновляется. Этот вирус был создан для проверки защиты системы.

Содержание

Первая версия трояна

После того, как пользователь открывает .exe-файл, троян запускает Windows Media Player, включает на нём видео Зелёная комната (зачастую видео не успевает загрузится из-за перезапуска системы), после чего перезапускает систему.

При запуске фон рабочего стола меняется на изображения черепов, а значки файлов также заменяются на черепа. Как только система будет полностью загружена, на экране появляется мигающее и движущееся изображение девушки, названной госпожой Майор.

Вторая версия трояна


В отличии от первой версии, вторая версия имеет множество различий.

  1. Если время на таймере вируса закончится, компьютер больше не включится.
  2. Если вы попытаетесь завершить процесс, компьютер получит непоправимый урон.
  3. Не удалять никаких файлов вируса.
  4. Удалить все антивирусы, т.к. они могут удалить вирус.
  5. Не запускать диспетчер задач, командную строку, Sethc.
  6. Не запускать компьютер в безопасном режиме.
  7. Не удалять ключи через msconfig и т.д.

​​​Иначе ваш компьютер не сможет больше запуститься.

Третья версия трояна


Совсем недавно создатель вируса выпустил новую версию трояна.

В отличие от первых двух версий, третья — координально отличается.

После ввода кода, появляется окно, в котором говорится следующее:

Attention: Be patient while MrsMajor infects your system. This usually takes about 23 seconds. Your computer will be forced to restart afterwards. ;) Do you want to view the screen of Rules?

Searching keywords on google such as "antivirus download", "malwarebytes download", "do i have a virus" is not allowed. If you do, you'll get prompted with a blue screen explaining you why your computer just ran into a crash. Using 3rd party tool is not allowed. You'll get a BSoD again. Once the malware runs out of blood, you'll get your LogonUI overwritten. If you fix your LogonUI, you'll get your boot sector overwritten just like your System32 files. So don't do that ig. This program can't be ran on a real machine. (VM only) Have fun!

После этого обои рабочего стола изменяются на фото ночного леса и появляется уведомление о том, что Windows скоро выключится.

После перезапуска, почти все иконки в Windows заменятся на глазное яблоко. На рабочем столе нас приветствуют изображением куклы госпожи Майор и показателем оставшейся крови. Данный показатель в этой версии заменяет таймер из прошлой версии (причём новый таймер истекает в разы быстрее).

По рабочему столу начинают стекать капли крови. Чем меньше крови на показателе, тем больше на экране появится следов крови, уменьшая поле обзора на рабочем столе.

Музыка из прошлой версии была заменена на тему Бена-утопленника.

Скример


Безопасная версия госпожи Майор

Сама госпожа Майор является куклой с серой кожей, изуродованным лицом и пустыми глазницами. Кукла не сопровождается криком, а просто висит на рабочем столе.

В 3.0 её внешний вид был немного изменён. Теперь вместо двух пустых глазниц на её лице находятся множество дыр, из которых сочится кровь.

Сегодня мы поговорим по поводу одного интересного вируса, который называется MrsMajor2.0.exe (BossDaMajor). Однако есть тут одна отсылка к фильму Аннабель. Тут и кукла такого же рода, и музыка подходящая.

Ну а теперь посмотрим на него и заценим весь его функционал. Почему я решил написать именно об этом вирусе? Поскольку он имеет свой графический интерфейс, это выделяет его среди других вирусов. Ну и как факт этот вирус был создан для того чтобы исследователи в области IT, могли протестировать свой продукт, либо свою ОС на проникновение данного вируса. Сможет ли он убить Вашу чудо настроенную систему или нет.

mrsmajor 2.0

Протестируем это дело на виртуальной машине. Распаковываем из архива данный вирус и посмотрим на иконку.

Для начала мы просто посмотрим, что вирус делает. А затем попытаемся как-нибудь ликвидировать.

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 2 - lenium.ru

Но зачем нам отмена, если мы хотим его протестировать?

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 4 - lenium.ru

После перезагрузки заходим снова в систему. И тут уже вместо иконок появились какие-то бесы (это те самые с главной иконки). И также имеется активное окно с куклой Аннабель, где в низу окна идёт таймер. Пишут, что у нас осталось 4 минуты и компьютеру будет плохо.

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 6 - lenium.ru

  • Если таймер дойдёт до конца, то ПК будет плохо.
  • Тоже самое будет если Вы попытаетесь закрыть какие-либо процессы.
  • Не удалять никакие вирусные файлы.
  • Удалите Ваш антивирус, поскольку он будет мешать работе данного вируса.
  • Не использовать диспетчер задач и командную строку.
  • Не использовать безопасный режим…
  • Или же Ваш компьютер превратиться в кирпич.

Ну собственно вот такие вот правила.

Попробуем поменять дату на нашем ПК…

…Но после открытия любого окна, понимаем, что вирус довольно быстро закрывает все приложения, однако Мой Компьютер открывается…

…Так как Диспетчером задач мы пользоваться не можем, в таком случае воспользуемся программой Process Hacker. Однако он тоже будет закрываться и даже после того как Вы его закрепите в панели задач.

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 8 - lenium.ru

Напомню, что время идёт…

Судя по всему, вирус просто заменяет иконки, и он не является вирусом шифровальщиком.

Попробуем просто на просто перезагрузить компьютер, поскольку ничего не было сказано по поводу этого.

Но нет, в итоге после перезагрузки у нас таймер обнулился и показывает 5 минут, что есть плюс…

CTRL + Shift + Escape (вызывает диспетчер задач с вкладкой процессы). Однако Вирус пишет, что это тоже не выход.

Надо как-то быстро успеть заморозить данный процесс через Process Hacker… но быстро это сделать безуспешно.

Кстати стоит обратить внимание что те программы что мы использовали, к примеру, Process Hacker, она приобрела ту же иконку с бесом. Однако открыть программу всё также можно.

В общем, в данной программе можно найти и заблокировать процесс кнопкой Suspend. В принципе это удаётся сделать, но вирус остаётся быть активным и закрывать приложения. Однако потыкав Process Hacker на различные другие сомнительные процессы, таймер остановить всё-таки удаётся.

В итоге и удалось найти и заморозить процесс скрытия приложений. А значит дальше уже проще…

Вообще многие вирусы можно перетерпеть при помощи программы Process Hacker.

А пока мы можем посмотреть какие здесь есть дочерние процессы, которые отвечают за деятельность данного вируса.

Пока у нас на таймере отображается ещё несколько минут. И таймер хоть и стоит на месте, но мало ли он всё же ещё не до конца заморозился.

Для начала зайдём в популярную программу CCleaner в раздел Автозагрузка. В разделе Автозагрузка у нас файл Major находится по пути:

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 10 - lenium.ru

Но по переходу внутрь выяснилось, что вирус сделал себя админом и изменять реестр конечно же нельзя. Но можно попытаться найти файл по пути выше вручную.

Удаление Вируса!

Как выяснилось внутри этой папки можно найти и иконки тех самых файлов exe которые создавались на рабочем столе с размером 0 байт.

Забавно то, что при удалении файлов из этой папки, снова откроется окно с Аннабелью и пойдёт таймер!

Повторюсь, при заморозке главного процесса окна, почему-то таймер продолжает идти, что странно… так как он должен замораживать другие подпроцессы. Но приходится всё это делать вручную.

Также есть там один интересный системный файл, который отвечает за запуск Windows. И вирус MrsMajor заменяет данный файл на свой файл. Поэтому запуск Windows становится невозможным.

Чистим дальше… папку temp, корзину

Единственное что не хочется делать так это завершать данный вирус, поскольку произойдёт то чего нам не нужно… наша система будет уничтожена. Поэтому мы пойдём по пути, который мы изначально и выбрали.

Мы создадим пустые файлы с теми же именами файлов из папки Program Files – MicrosoftWindowsServicesEtc. Мы это делаем для того чтобы после того как мы быстро завершим эти процессы, мы успели переименовать данные файлы и поставить на них атрибут только чтение.

И пробуем перезагрузить систему.

MrsMajor 2.0.exe (BossDaMajor) - страшный вирус-троян с красным экраном 12 - lenium.ru

Если же кстати таймер доходит до конца, или же Вы попытаетесь удалить вирус как-то неправильно, то нас ожидает красный экран смерти. В нём говорится, что ничего у Вас не вышло и почта-мейл разработчика.

Статья о страшном вирусе MrsMajor2.0, второй версии, которая была написана еще в 2018 году, как ни странно была и остаётся популярной. Не так давно, появилась уже третья версия этого файла, а также запросы, которые поступают в Метрику дают об этом понять, насколько многих это интересует.

MrsMajor 3.0 это вирус с графическим интерфейсом, который одновременно и жуткий и интересный. Сегодня, как раз рассмотрим 3 версию этого вируса, которая может удивить не меньше, чем предыдущая. И как итог, попробуем запустить на виртуальной машине данный вирус, и понять, как он работает, и как от него мы сможем защититься.

Запуск

На нашем рабочем столе находится архив под названием MrsMajor_3.0.rar, который мы разархивируем. Внутри имеем всего один файл MrsMajor 3.0.exe, весом в 382 КБ. В этот раз нас встречает ярлык в виде необычной матрёшки, с привычными вирусу цветами красный и чёрный.

MrsMajor-3.0-Dropper-Decrypt

MrsMajor3.0 Attention infects your system

Здесь простая информация о том, чтобы мы в поиске Google не искали связанное с антивирусами, и о том, что если загуглить у Вас появится синий экран смерти.

MrsMajor-3.0-keywords-antivirus

В целом эти правила можно не успеть дочитать, так как Ваш ПК начнёт перезагрузку. Кстати перед перезагрузкой было заметно создание файла ReadMe (MrsMajor 3.0).txt на рабочем столе с ярлыком глаза, и весом в 606 байт.

После перезагрузки

Откроем тот самый файл ReadMe (MrsMajor 3.0).txt, хотя читать конечно уже не так легко, через кровавый экран. При этом мы пока не будем пытаться избавиться от этого вируса, и посмотрим, что будет дальше.

Прошло 2 минуты, и в целом забавно то, что данная версия вируса заливает весь экран красными красками, в итоге использовать какое-то ПО становится сложнее.

Кстати, подождав пока уровень крови закончится нам выскакивает синий экран смерти. И даже если система выполнила восстановление, то всё равно уходит в синий экран.

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 11 - lenium.ru

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 13 - lenium.ru

Лечение MrsMajor 3.0

Если проделать тоже самое с taskmgr.exe (диспетчером задач), переместить на рабочий стол и переименовать, то выдаёт ошибку.

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 15 - lenium.ru

Перезагружаемся, заходим снова в powershell.exe и ищем что-нибудь ещё.
Процесс dwm.exe отвечает за графическую часть вируса (кровь на экране, пиксели и уровень крови), если этот процесс убить, то получается заморозить уровень, и обновить графическую часть.

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 17 - lenium.ru

Ищем в стандартном поиске по файлам, приложение tobi0a0c.exe в папке Windows.
Находится он по пути: C:\Windows\winbase_base_procid_none\secureloc0x65
Размер: 5,06 МБ
Ну а как только мы переходим в папку winbase_base_procid_none, то система подвисает и в итоге снова срабатывает Blue screen – синий экран.

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 19 - lenium.ru

В этой папке находятся 4 приложения, 2 звуковых Wav файла, vbs-файл скрипт запуска, указатель и иконка глаза. Это как раз всё то, что связано с этим вирусом. Возможно, как раз файл bsector3.exe затирает загрузочный сектор.

Список файлов MrsMajor 3.0, в папке secureloc0x65 :

  • tobi0a0c.exe (5 191 КБ)
  • ui65.exe (116 КБ)
  • ui66.exe (2 969 КБ)
  • bsector3.exe (72 КБ)
  • mainbgtheme.wav (2 466 КБ)
  • 0x000F.wav (2 466 КБ)
  • WinRapistI386.vbs (1 КБ)
  • rcur.cur (5 КБ)
  • winsxs.ico (492 КБ)

Попробуем удалить файлы из этой папки. Удалить получается всё кроме файла tobi0a0c.exe, который на данный момент запущен. Но в любом случае мы удалили часть важных файлов, среди которых был запускаемый скрипт-файл.

Перезагружаем теперь нашу виртуальную машину, и смотрим что из этого вышло.

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 21 - lenium.ru

Как итог, после удаления данных файлов вируса, заметно сразу, что потрепались иконки наших ярлыков, звуковые файлы мы удалили, также графическая часть восстановлена.

Проверим работает ли диспетчер задач.
Открываем PowerShell, и вводим команду taskmgr, и нам выводит окно, о том, что диспетчер задач отключен администратором.

Чтобы решить эти проблемы, вводим некую команду gpedit.msc (Редактор групповой локальной политики).

Как итог комбинация клавиш Ctrl+Shift+Esc теперь будет работать и запускать диспетчер задач. Редактор реестра также будет работать.

Теперь удалим из автозагрузки оставшееся событие от скрипта который мы удалили, что бы оно не выскакивало, при следующей загрузке системы. При этом, мы не найдём это событие в Автозагрузке, через msconfig, его там нет! Его нет не в списке автозагрузки, не в планировщике задач, при этом событие каждый раз срабатывает при включении ПК! Это странно.

Поэтому ищем WinRapistI386.vbs по поиску в редакторе реестра.
Как оказалось это событие скрипта vbs прописалось к запуску рабочего стола (Shell).
Поэтому, редактируем значение этого параметра Shell, оставив только explorer.exe

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 23 - lenium.ru

MrsMajor 3.0 - Страшный вирус, новая версия. Как его удалить? 25 - lenium.ru

Читайте также: