Апетити вірусів-вимагачів ростуть – Microsoft Security Essentials

На сторінках блогу я вже не раз писав про віруси-здирників – почалося все з вірусу Internet Security два роки тому. Тому не буду переливати з пустого в порожнє і в черговий раз докладно і в деталях розповідати про лікування.

Однак апетити у них ростуть, звичайно не у самих вірусів, а їх власників. Черговий такий любитель швидкої наживи вимагає 1000 гривень за код розблокування … дійсно, чого розмінюватися на дрібниці то.

Увага! Питання до тих, хто все ще відправляє гроші – дійсно код приходить? Втім, ті хто читає цей пост, навряд-чи дадуть відповідь …

На цей раз, як бачите, блокіратор виступає від імені додатки Microsoft Security Essentials. А погрози стандартні, як під копірку, тільки номер телефону змінився і цінник підріс.

Сталася ця дурниця на красивому ноутбуці SONY PCG-71812V, досить свіженька модель, проте кину камінчик кругляк в город SONY. Якого … питається, знадобилося так урізати BIOS? Адже це не BIOS, а якийсь обрубок вийшов, де немає елементарної можливості завантажитися з флешки. Через новизни моделі, мій реанімаційний CD, до слова досить древній, вивалювався в синій екран смерті. Так що довелося рятувальну операцію проводити з безпечного режиму, що не вселяло оптимізму в успіху.

Однак, блокіратор виявився досить кволим в Windows 7, дозволивши благополучно завантажитися в безпечному режимі з підтримкою командного рядка.

Далі залишалося справа техніки – пишемо в командному рядку:

regedit

Перевіряємо вміст чотирьох гілок реєстру:

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]

Як бачите, дві гілки відносяться до всього комп’ютера, а дві до активного користувача. Видаляємо все підозріле, в моєму випадку підозріле було такого вигляду:

З реєстром закінчили. Залишилося почистити тіла цієї гидоти, благо з картинки видно, що знаходиться це все в тимчасовій папці користувача. в командному рядку пишемо:

explorer

переходимо в З: -> Користувачі -> [ім’я користувача] -> AppData -> Local -> Temp, де видаляємо все дочиста. До речі, щоб включити відображення прихованих файлів (інакше ви цієї папки не побачите) натисніть в Windows 7 кнопку Alt для відображення прихованого меню. Детальніше писав в статті як в windows 7 змінити розширення файлів.

Власне все. Вирішив не перевантажувати ноутбук штатним чином, просто вимкнути живлення варварським методом (5 секунд тримати кнопку включення). Включення показало, що блокує успішно покинув комп’ютер.

Якщо вважаєте статтю корисною, не лінуйтеся ставити лайки і ділитися з друзями.

Ссылка на основную публикацию