Днями зіткнувся з новою прийомом вірусів. Візуально банер "Windows заблокований" нічим не відрізняється від попередників, за винятком того, що вимагають для розблокування комп'ютера 3000 рублів. Номер телефону в общем-то навіть немає сенсу вказувати, так як вони змінюються щодня і ні про що не говорять.
Отже, в чому ж відмінність? А відмінність у тому, що при спробі видалити банер через безпечний режим , В реєстрі нічого підозрілого виявлено не було. Тоді було вирішено перевірити реєстр і автозапуск і видалити банер Комп'ютер заблокований через ERD Commander . Ось тут-то і виявилася хитрість, яку не відразу можна помітити і при побіжному погляді випустити з уваги.
власне процес створення USB -флешкі з ERD Commander або записи його образу на диск описаний в статті Як розблокувати комп'ютер за допомогою ERD Commander . Тому не буду тут зупинятися на цьому питанні, так само як і на завантаженні і конфігурації ERD Commander. Будемо вважати, що ви вже запустили його.
У автозапуску виявляються 2 "цікаві" рядки. Здавалося б все коректно, адже файл explorer.exe дійсно повинен знаходитися в папці C: \ Windows \. Шлях вказано правильно, файл провідника по ідеї не був змінений, так як в безпечний режим комп'ютер завантажується абсолютно нормально. Але якщо подивитися на його властивості і розташування ключа реєстру, то ситуація трохи прояснюється.
Видно, що опис у цього файлу не відповідає дійсності, а поле "Видавець" і зовсім порожнє, а повинно бути Microsoft Corporation. Неправильні записи знаходяться в гілці HKLU \ ... Це означає, що запускається ця програма від імені користувача. Однак реально провідник запускається від імені системи з гілки реєстру HKLM \ software \ microsoft \ WindowsNT \ CurrentVersion \ Winlogon. І якщо подивитися властивості файлу explorer.exe, що запускається від імені системи, то там і з описом, і з видавцем все в повному порядку.
Усе стане на свої місця, коли ми запустимо Провідник в ERD Commander і подивимося в корінь диска C:
Тут знаходяться 2 (!) Папки Windows. Одна з них справжня, а інша створена вірусом. Власне в цій папці і лежить файл з банером explorer.exe. Дізнатися яка папка потрібна, а яка ні дуже просто. У папці, створеної вірусом знаходиться тільки файл банера з назвою explorer.exe і все. Можливо в інших варіаціях банерів там з'являться інші файли, але їх не буде багато. Крім того папку можна відрізнити за датою створення.
Для того, щоб розблокувати комп'ютер, досить видалити записи з автозапуску (для цього клацання правою кнопкою по рядку і в контекстному меню Видалити або Delete в залежності від мови), а також необхідно видалити сам файл з банером, а вірніше всю підроблену папку Windows, в якої він лежить.
Після цього слід почистити диск С , Встановити антивірус, наприклад завантажити безкоштовний антивірус Аваст і дотримуватися правила захисту комп'ютера від вірусів . Успіхів!
Отже, в чому ж відмінність?