Сьогодні я розповім як видалити лже-антивірус PC Defender.
Нещодавно знайомий приніс мені ноутбук попросивши видалити з його слів «якийсь дивний антивірус». На питання чому дивний - він дуже загадково посміхався і якось м'явся з відповіддю, сказавши тільки його назва - PC Defender. Пошук в Гуглі дав вердикт - лже-антивірус. який проникає на ПК і сам себе встановлює, далі він буде запускатися разом з Windows. Під час свого першого запуску PC Defender просканує комп'ютер і видасть перелік заражених файлів (вони в дійсності нешкідливі і є системними), які не дозволить видалити поки Ви не купите ліцензію.
Хоча так само зустрів і такий опис: Універсальна суперзахист від злому комп'ютера, а також швидке очищення системи від будь-яких вірусів. Аж до того, що це мовляв безкоштовна розробка від компанії F-Secure - відомого зарубіжного розробника антивірусного захисту.
Ну да ладно - подивимося на це «чудо» і спробуємо його позбутися.
Запускаємо комп'ютер, завантажуємо операційну систему і бачимо наступну картину:
Ну ніби і правда антивірус, і сканує систему, і навіть знаходить щось. Але далі почалося найцікавіше - спочатку оповіщення про вірус з полуничкою:
А потім в якості завершального штриха банер з вимогою відправити СМС:
Незважаючи на те, що і банер і головне вікно лже-антивіруса дають можливість себе закрити, проте вони настирливо вискакують з певною періодичністю.
Пробуємо видалити. Стандартними засобами само-собою не виходить, та й ще б вийшло 😉 - заразу теж не дурні писали. Вбити трояна можна декількома способами:
1 спосіб - видалити антивірусними утилітами Spyware Doctor. Kaspersky Virus Removal Tool або DrWeb CureIt. якщо звичайно вийде їх запустити, в моєму випадку утиліта від Dr.Web не відкривається, а інших на жаль під рукою не було.
2 спосіб - видалити лже-антивірус з автозавантаження. Для цього потрібно мати під рукою програму керуючу автозавантаженням, наприклад AnVir Task Manager. Блокуємо завантаження PC Defender 'a і перезавантажуємо ПК. І видаляємо залишки вірусу з Program Files.
3 спосіб - видалити ключі реєстру. Для PC Defender:
HKEY_USERS \ .DEFAULT \ Software \ Def Group \ Antispyware
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon «Userinit» => «C: \ WINDOWS \ system32 \ userinit.exe," C: \ Program Files \ Def Group \ PC Defender \ Antispyware.exe »»
Для Total PC Defender ключі такі:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableTaskMgr
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ DisableTaskMgr
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Total PC Defender
Перезавантажуємо ПК і видаляємо залишки вірусу з Program Files.
4 спосіб - завантажуємося з-під іншої операційної системи (підійде будь-який LiveCD з Windows PE або Linux) і видалити папку c вірусом з Program Files.
Для PC Defender:
З: \ Program Files \ Def Group
Для Total PC Defender:
З: \ Program Files \ Total PC Defender
Після цього необхідно ретельно пройти систему антивірусом і по можливості почистити реєстр від залишків трояна.