Банер Комп'ютер заблокований і Windows заблокований

Днями зіткнувся з новою прийомом вірусів

Днями зіткнувся з новою прийомом вірусів. Візуально банер «Windows заблокований» нічим не відрізняється від попередників, за винятком того, що вимагають для розблокування комп'ютера 3000 рублів. Номер телефону в общем-то навіть немає сенсу вказувати, так як вони змінюються щодня і ні про що не говорять.

Отже, в чому ж відмінність? А відмінність у тому, що при спробі видалити банер через безпечний режим , В реєстрі нічого підозрілого виявлено не було. Тоді було вирішено перевірити реєстр і автозапуск і видалити банер Комп'ютер заблокований через ERD Commander . Ось тут-то і виявилася хитрість, яку не відразу можна помітити і при побіжному погляді випустити з уваги.

власне процес створення USB -флешкі з ERD Commander або записи його образу на диск описаний в статті Як розблокувати комп'ютер за допомогою ERD Commander . Тому не буду тут зупинятися на цьому питанні, так само як і на завантаженні і конфігурації ERD Commander. Будемо вважати, що ви вже запустили його.

У автозапуску виявляються 2 «цікаві» рядки. Здавалося б все коректно, адже файл explorer.exe дійсно повинен знаходитися в папці C: \ Windows \. Шлях вказано правильно, файл провідника по ідеї не був змінений, так як в безпечний режим комп'ютер завантажується абсолютно нормально. Але якщо подивитися на його властивості і розташування ключа реєстру, то ситуація трохи прояснюється.

Але якщо подивитися на його властивості і розташування ключа реєстру, то ситуація трохи прояснюється

Видно, що опис у цього файлу не відповідає дійсності, а поле «Видавець» і зовсім порожнє, а повинно бути Microsoft Corporation. Неправильні записи знаходяться в гілці HKLU \ ... Це означає, що запускається ця програма від імені користувача. Однак реально провідник запускається від імені системи з гілки реєстру HKLM \ software \ microsoft \ WindowsNT \ CurrentVersion \ Winlogon. І якщо подивитися властивості файлу explorer.exe, що запускається від імені системи, то там і з описом, і з видавцем все в повному порядку.

Усе стане на свої місця, коли ми запустимо Провідник в ERD Commander і подивимося в корінь диска C:

Тут знаходяться 2 (!) Папки Windows. Одна з них справжня, а інша створена вірусом. Власне в цій папці і лежить файл з банером explorer.exe. Дізнатися яка папка потрібна, а яка ні дуже просто. У папці, створеної вірусом знаходиться тільки файл банера з назвою explorer.exe і все. Можливо в інших варіаціях банерів там з'являться інші файли, але їх не буде багато. Крім того папку можна відрізнити за датою створення.

Для того, щоб розблокувати комп'ютер, досить видалити записи з автозапуску (для цього клацання правою кнопкою по рядку і в контекстному меню Видалити або Delete в залежності від мови), а також необхідно видалити сам файл з банером, а вірніше всю підроблену папку Windows, в якої він лежить.

Після цього слід почистити диск С , Встановити антивірус, наприклад завантажити безкоштовний антивірус Аваст і дотримуватися правила захисту комп'ютера від вірусів . Успіхів!

Отже, в чому ж відмінність?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: