Сегодня я расскажу как удалить лже-антивирус PC Defender.
Недавно знакомый принёс мне ноутбук попросив удалить с его слов «какой-то странный антивирус». На вопрос чем странный — он очень загадочно улыбался и как-то мялся с ответом, сказав только его название — PC Defender. Поиск в Гугле дал вердикт — лже-антивирус, который проникает на ПК и сам себя устанавливает, далее он будет запускаться вместе с Windows. Во время своего первого запуска PC Defender просканирует компьютер и выдаст перечень зараженных файлов (они в действительности безвредны и являются системными), которые не разрешит удалить пока Вы не купите лицензию.
Хотя так же встретил и такое описание: Универсальная суперзащита от взлома компьютера, а также быстрое очищение системы от любых вирусов. Вплоть до того, что это дескать бесплатная разработка от компании F-Secure — известного забугорного разработчика антивирусной защиты.
Ну да ладно — посмотрим на сие «чудо» и попробуем от него избавиться.
Запускаем компьютер, загружаем операционную систему и видим следующую картину:
Ну вроде и правда антивирус, и сканирует систему, и даже находит что-то. Но дальше началось самое интересное — сначала оповещение о вирусе с клубничкой:
А затем в качестве завершающего штриха баннер с требованием отправить СМС:
Несмотря на то, что и баннер и главное окно лже-антивируса дают возможность себя закрыть, тем не менее они назойливо выскакивают с определённой периодичностью.
Пробуем удалить. Стандартными средствами само-собой не получается, да и ещё бы получилось 😉 — заразу тоже не дураки писали. Убить трояна можно несколькими способами:
1 способ — удалить антивирусными утилитами Spyware Doctor, Kaspersky Virus Removal Tool или DrWeb CureIt, если конечно получится их запустить, в моём случае утилита от Dr.Web не запустилась, а иных к сожалению под рукой не было.
2 способ — удалить лже-антивирус из автозагрузки. Для этого нужно иметь под рукой программу управляющую автозагрузкой, например AnVir Task Manager. Блокируем загрузку PC Defender‘a и перезагружаем ПК. И удаляем остатки вируса из Program Files.
3 способ — удалить ключи реестра. Для PC Defender :
HKEY_USERS\.DEFAULT\Software\Def Group\Antispyware
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon «Userinit» => «C:\WINDOWS\system32\userinit.exe,»C:\Program Files\Def Group\PC Defender\Antispyware.exe»»
Для Total PC Defender ключи такие:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Total PC Defender
Перезагружаем ПК и удаляем остатки вируса из Program Files.
4 способ — загружаемся из-под другой операционной системы (подойдёт любой LiveCD с Windows PE или Linux) и удалям папку c вирусом из Program Files.
Для PC Defender:
С:\Program Files\Def Group
Для Total PC Defender:
С:\Program Files\Total PC Defender
После этого необходимо тщательно пройти систему антивирусом и по возможности почистить реестр от остатков трояна.