Всім привіт! Сьогодні клієнтка привезла ноутбук з Windows 7. Але замість робочого столу висить банер на пів-екрану такого змісту:

Увага!
Ваш ПК заблокований, за перегляд порно фільмів за участю неповнолітніх, порнофільмів з зоофілією. Для розблокування, Вам необхідно зробити наступні дії:
У будь-якому терміналі оплати стільникового зв'язку, поповніть рахунок абонента Білайн 89671071746 на суму 500 рублів. Після оплати, на виданому терміналом чеку оплати, Вам буде виданий код, після введення якого система буде розблокована. Після розблокування, Вам необхідно видалити всі незаконно розташовані матеріали на вашому ПК. У разі відмови від оплати, ваша операційна система буде безповоротно знищена.

Природно, ніякі такі фільми ніхто не дивився, і, само собою, жодна нормальна людина не побіжить класти комусь гроші на телефон. Все це розлучення чистої води.

Що ж, попрацюємо ручками! 🙂

Крок 1. Перезавантаження.

Насамперед Перезавантажуємося в «Безпечний режим з підтримкою командного рядка«. Робиться це дуже просто: під час завантаження треба зуміти і встигнути натиснути клавішу F8 за пару секунд до появи кольорового логотипу «Windows», потім з'явиться меню в якому потрібно вибрати цей самий пункт і натиснути Enter. Чекаємо кінця завантаження операційної системи і появи командного рядка, переходимо до наступного пункту.

Крок 2. Пошук зловреда.

Нашого маленького «вимагача» шукатимемо в реєстрі. Для цього в командному рядку набираємо команду regedit і тиснемо Enter. Має відкритися Редактор реєстру.

Зліва, в дереві каталогів, відкриваємо наступний розділ: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ Current Version \ Winlogon

Тепер справа дивимося значення ключа Shell. За замовчуванням має бути «Explorer.exe». Але в моєму випадку це ось така дурниця: «C: \ Users \ Admin \ AppData \ Local \ Opera \ Opera \ temporary_downloads \ xxx_video_65642.exe».

Крок 3. Видалення.

Стало бути, троянець проник в кеш браузера Опери. Записуємо шлях до нашого троянцу, і замінюємо його на рідній «Explorer.exe». Закриваємо редактор реєстру, знову бачимо перед собою командний рядок. Виконуємо команду: del «шлях_до_файлу», в моєму випадку це del C: \ Users \ Admin \ AppData \ Local \ Opera \ Opera \ temporary_downloads \ xxx_video_65642.exe

Крок 4. Радість.

Отже, залишилося перезавантажитися в нормальному режимі. Для цього виконаємо команду shutdown / r / t 00

Після перезавантаження нашого банера і сліду не було 🙂

Однак, раптом помічаю що при натисканні CTRL + ALT + DELETE замість диспетчера задач запускається .. калькулятор! Щоб вирішити цю проблему, нам знадобиться антивірусна утиліта AVZ, скачати можна тут . В утиліті заходимо в меню Файл -> Відновлення системи. Ставимо галочку навпроти пункту «9. Видалення отладчиков системних процесів«, натискаємо «Виконати зазначені операції» і радіємо життю)

Радий, якщо ця стаття зможе комусь допомогти. Успішної боротьби з зловредів! )