Как удалить баннер с рабочего стола через ERD Commander

Баннер windows заблокирован Microsoft security

На днях столкнулся с новой уловкой вирусописателей. Визуально баннер «Windows заблокирован» ничем не отличается от предшественников, за исключением того, что требуют для разблокировки компьютера 3000 рублей. Номер телефона в общем-то даже нет смысла указывать, так как они меняются каждый день и ни о чем не говорят.

Итак, в чем же отличие? А отличие в том, что при попытке удалить баннер через безопасный режим, в реестре ничего подозрительного обнаружено не было. Тогда было решено проверить реестр и автозапуск и удалить баннер Компьютер заблокирован через ERD Commander. Вот тут-то и обнаружилась хитрость, которую не сразу можно заметить и при беглом взгляде упустить из виду.

Собственно процесс создания USB-флешки с ERD Commander или записи его образа на диск описан в статье Как разблокировать компьютер с помощью ERD Commander. Поэтому не буду здесь останавливаться на этом вопросе, так же как и на загрузке и конфигурации ERD Commander. Будем считать, что вы уже запустили его.

В автозапуске обнаруживаются 2 «интересные» строки. Казалось бы все корректно, ведь файл explorer.exe действительно должен находиться в папке C:\Windows\. Путь указан правильно, файл проводника по идее не был изменен, так как в безопасный режим компьютер загружается абсолютно нормально. Но если посмотреть на его свойства и расположение ключа реестра, то ситуация немного проясняется.

Видно, что описание у этого файла не соответствует действительности, а поле «Издатель» и вовсе пустое, а должно быть Microsoft Corporation. Неправильные записи находятся в ветке HKLU\…  Это значит, что запускается эта программа от имени пользователя. Однако реально проводник запускается от имени системы из ветки реестра HKLM\software\microsoft\WindowsNT\CurrentVersion\Winlogon. И если посмотреть свойства файла explorer.exe,запускаемого от имени системы, то там и с описанием, и с издателем всё в полном порядке.

Все встанет на свои места, когда мы запустим Проводник в ERD Commander и посмотрим в корень диска C:

Здесь находятся 2 (!) папки Windows. Одна из них настоящая, а другая создана вирусом. Собственно в этой папке и лежит файл с баннером explorer.exe. Узнать какая папка нужна, а какая нет очень просто. В папке, созданной вирусом находится только файл баннера с названием explorer.exe и всё. Возможно в других вариациях баннеров там появятся другие файлы, но их не будет много. Кроме того папку можно отличить по дате создания.

Для того, чтобы разблокировать компьютер, достаточно удалить записи из автозапуска (для этого щелчок правой кнопкой по строке и в контекстном меню Удалить или Delete в зависимости от языка), а также необходимо удалить сам файл с баннером, а вернее всю поддельную папку Windows, в которой он лежит.

После этого следует почистить диск С, установить антивирус, например скачать бесплатный антивирус Аваст и соблюдать правила защиты компьютера от вирусов. Удачи!

Комментариев еще нет.

Оставить комментарий