Новая волна блокираторов. Вирус PC Defender

Август, 17th 2010Рубрика: Безопасность 31805
Подписаться на комментарии по RSS

Вирус-вымогатель PC Defender. Похоже тема блокираторов ещё не закончилась. Сегодня принесли сразу 2 ноутбука с одинаковой заразой - на этот раз блокиратор маскируется под антивирус с названием PC Defender. В сети я не раз сталкивался с сайтами, где станички были оформлены в подобном стиле и пользователю показывалась картинка в точности воспроизводящая действия антивируса. Естественно показывалось множество "зараженых" файлов.

К блокираторам Windows с не совсем одетыми девушками уже думаю все привыкли, на смену им идут более изощренные - теперь на вашем компьютере якобы найдено множество вирусов и угроз безопасности, чтобы избавиться, нужно всего навсего отправить SMS (ну куда без них) и счастливец получает полнофункциональную антивирусную защиту.

Как избавиться от этой заразы? Случай с переустановкой Windows, как самый примитивный, я тут не рассматриваю, да и не всегда есть куда сохранить данные, а в некоторых случаях переустановка эксклюзивного софта может обернуться длительными простоями в работе или ещё чего похуже.

Первое, что нужно помнить - доступ к системе, зараженного компьютера заблокирован однозначно. Так что восстановить на прямую можно не пытаться. Выхода два - загружаться с LiveCD (флешки) или подключать винчестер к другому комьютеру. Т.к. приходится много заниматься подобными вещами, прикупил очень удобный девайс - адаптер AgeStar FUBCA, для HDD 2.5 SATA+IDE / 3.5 SATA+IDE, USB2.0.

От вируса можно избавиться руками:

  • 1. Загружаемся с LiveCD или подключаем зараженный винт к другому компьютеру. Удаляем ВСЁ из каталогов
  • [диск с Windows]:Users\[ваша учетная запись]\AppData\Local\Microsoft\Temporary Internet Files\

    [диск с Windows]:Users\[ваша учетная запись]\AppData\Local\Temp\

  • 2. Удаляем PCDefenderSilentSetup.msi из [диск с Windows]:\Windows\Installer\. В принципе можно вообще всё поудалять из этого каталога - его обычно используют только проги, обновления, дополнения от Microsoft...
  • 3. Теперь, загрузив систему штатно с ранее зараженного винчестера, запускаем AVZ для разблокировки диспетчера задач. редактора реестра и т.д. Подробнее этот процесс описан в статье о блокираторе Internet Security.

Массовый характер блокираторы приобрели сразу после нового года. Удручает, что любой придурок сейчас может заказать такой блокиратор и пробовать рубить бабло с его помошью. На тематические форумах уже давно тогруют билдами этой заразы, причем цена не высока - от 30$.

Платные SMS - зло, так же как и дырявый Windows. Но тут деваться некуда, сидим на нем жестко и плотно к сожалению. C другой стороны без работы не остаюсь и на бензин от разблокировки компов хватает.

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 47

  1. 2010-09-01 в 12:04:10 | Денис

    Я его победил,но другим способом.Сделал откат системы и запустил ESS 4.2 (глубоким сканированием).ОН нашел 4 зараженных файла этого вирусника.Сейчас все пашет как прежде.

  2. 2010-09-01 в 12:26:07 | dre@mer

    Значит Вам повезло. Есть разные модификации - в моём случае восстановление системы было заблокировано, да и не на всех компьютерах оно включено.

  3. 2010-09-03 в 19:38:45 | Кривчун Виктор

    Ко мне на комп проник вымогатель - блокиратор PC DEFENDER, запросто преодолев Antivirus ESET NOD32. При загрузке компьютера он автоматом включался и изображал сканирование компа, минут через 12 перегружал комп, мешая нормальной работе. При этом все патентованные деблокираторы, которые я устанавливал, им отрубались моментально. Также он блокировал и опцию "Восстановление системы". Избавился я от этой мерзости очень простым способом: я работал над текстом в Excel. Перед очередной перегрузкой система как всегда задала вопрос: "Сохранить изменения?" Я кликнул на "Отмена". Блокиратор перестал выскакивать на дисплей. Я зашёл в "Восстановление системы" и откатил систему назад, то есть выбрал контрольную точку восстановления до даты появления блокиратора на компе. Все благополучно воостановилось и блокиратор сгинул. Пишу для того, чтобы кто-нибудь (у кого работает функция "Восстановление системы") воспользовался этим нехитрым способом.

  4. 2010-09-04 в 02:25:02 | cblpok

    http://keys-kas.ru/main/1372-eshhe-odin-vymogatel-antivirus-pc-defender.html

    Советы по ссылке мне помогли

    Пуск

    Выполнить

    Вбиваем - msconfig

    В открывшемся окошке, переходим на вкладку Автозагрузка

    Снимаем галочку напротив pcdef

    Нажимаем Применить и ОК

    Перезагружаемся

    Можно сказать, что мы справились, Рабочий стол пустой. Диспетчер задач запускается и никаких лишних процессов не показывает.

    Осталось только очистить систему от этой гадости.

    Для этого, жмем кнопку Пуск

    Выберем Поиск

    В окошке выберем поиск Файлы и папки

    Вбиваем PC Defender

    И нажимаем Найти

    Смело удаляем, то что найдено.

    Следующий шаг, поиск ключей в реестре.

    Запускаем редактор реестра

    Пуск\Выполнить

    Вбиваем regedit

    "ОК"

    Появляется окно редактора реестра

    В верхнем меню выберем пункт Правка

    Найти

    или нажмем сочетание клавиш Ctrl+F

    В диалоговом окне Поиск в печатаем PC Defender

    И нажмем Найти далее

    Удалите ключи реестра PC Defender:

    HKEY_USERS\.DEFAULT\Software\Def Group\Antispyware

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit" => "C:\WINDOWS\system32\userinit.exe,"C:\Program Files\Def Group\PC Defender\Antispyware.exe""

    На этом все. Вы теперь снова, можете бродить по сомнительным сайтам, в поисках приключений.

  5. 2010-09-04 в 13:31:20 | Натульчик

    Кривчун Виктор,спасибо вам огромное за совет,уже думала всё,компу конец,решила попробовать и ПОБЕДА!!!!!!

    сенк ю вери матч)))))

  6. 2010-09-05 в 05:07:03 | NIGRA

    Большое спасибо Виктор с экселем, антивирь определял вторжение только когда этот вирус включал аварийную перезагрузку, но не успевал его блокировать в эти 5 сек, а с экселем все прошло идеально, как говорят - всё гениальное просто

  7. 2010-09-05 в 05:15:23 | Станислав

    Всё очень просто, господа!

    Качайте программу у меня Unlocker 1.8.7 http://mf-bbs.wen.ru/soft/unlocker187.rar

    Устанавливаем.

    Заходим в папку C:\Program Files\Def Group\PC Defender\ ... и на всех файла в папке мышкой нажимаем правую кнопку и в меню выбираем "UNLOCKER", выбираем далее действие "Удалить" файл.

    Три файла предложит удалить после следующей загрузки ОС.

    Перезагружаем и всё нормально. Теперь лечим или удаляем то, что было написано выше.

    :)

  8. 2010-09-05 в 16:00:18 | Алекс

    Надо зайти в C:\Program Files, а затем в папку Def Group, после чего во вложенных файлах сменить при переименовании расширение, вместо "exe", например, "еae". Блокиратор сразу же отключится, после этого уничтожайте папку Def Group, и всё будут в порядке. Можно хорошими утилитами вычистить мусор из реестра. новые модификации блокиратора к работе с флешек и к выполнению восстановления системы не допускают. Работа нод и вебер при подходе к папке Def Group блокируется.

  9. 2010-09-05 в 20:59:39 | Юзер

    Виктор, спасибо!!! только что по твоей инструкции, при помощи Excel, избавился от PC DEFENDERа

  10. 2010-09-06 в 11:26:35 | Егор

    Виктор!!! Спасибо огромное!!! Помог избавиться от долбанного защитника! http://pc-secure.ru/poddelnye-antivirusy/134-kak-udalit-winpc-defender.html

    Вот этот сайт вам в помощь!!!

  11. 2010-09-06 в 14:05:18 | Валентин

    Алекс! Алекс! Алекс! СПАСИБО ТЕБЕ БОЛЬШОЕ !!!!1 Я ПРОБЫВАЛ МНОГОЕ НО ПОМОГЛО ЛИШЬ ТВОЙ СПОСОБ!!!!!!! сПАСИБО ЕЩЕ РАЗ!!!

  12. 2010-09-06 в 15:42:27 | Дрон

    Кривчун Виктор*

    Спс большое, всё получилось так как небыло экселя провернул всё с блакнотом)

  13. 2010-09-06 в 16:10:39 | Алекс

    Для Валентина. Очень приятна Ваша благодарность. В дополнение к проделанной работе по борьбе с блокираторами обязательно скачайте утилиту avz. Это очень простая и надёжная программа, запустите её, она уберёт всю грязь оставленную PC Defender в реестре (чаще это имеет место). Если этот гад успел хорошо навредить, то у утилиты есть в меню "файл"-"восстановление системы", в которой выбирается нужный элемент, например, нарушена связь с рабочим столом, ставьте галочку у раб. стола и запускайте восстановление.

    Вообще проблему PC Defender можно решить даже одной утилитой avz, скачанной заранее. И самое главное никаких sms для вредителей.

  14. 2010-09-07 в 11:58:44 | Санек

    Вчера, т.е. 6.09.10 боролся с PC Defender на компе у знакомой. Удалить штатными методами не получалось. В msconfig в автозаге он вообще не прописан, Anvir Task Manager его показывает в запущенных программах, но в автозаге нет. CureIt не успевает отработать и половины намеченного, как комп перегружается. Использовал несколько методов, описанных здесь же, поэтому пусть ребята не думают, что занимаюсь плагиатом, просто победить удалось лишь установкой "Волшебной палочки" Unlocker, про него еще писал Станислав. В общем процесс такой: Ставим Unlocker, в папке Program Files находим папку Def Group. Удаляем через Unlocker. Контекстное меню выпишет, что папка будет удалена после перезагрузки, разрешаем. После нового запуска Defender уже не выскакивает. Но надо в Пуск - Выполнить набрать regedit, там Правка - Найти, вводим PC Defender. "Найти далее" и все, что будет находить, а это штук двадцать-тридцать записей по Дефендеру удаляем. Теперь отчистили реестр. Для радости в жизни можно почистить папки Темп, Темперари интернет файл, кто по-радикальней, то и прошерстить Ресиклеры, Ресикледы и Систем волум информейшн. Вроде все. Не обижайтесь, не охота было набирать имена последних папок по-английски, а лазить и копировать их название - тем более.

  15. 2010-09-08 в 23:24:19 | ДИДИ

    Всем огромное спасибо, но помогла палочка)))

  16. 2010-09-09 в 06:55:04 | Александр

    Легко! Установите на машину [guote] /UnLocker_Portable_1.9.5_Multingual.rar.html [/guote]

  17. 2010-09-09 в 15:56:23 | Игорь

    Стас, Санек, спасибо за Unlocker - пол дня мучался, только эта прога и помогла.

  18. 2010-09-09 в 16:40:13 | Семён (GHOST)

    Большое спасибо статье и отдельное спасибо Кривчуну Виктору и cblpok. Я включил word ,потом вылезло окно завершить сейчас или отмена, я нажал отмена. дальше я чистил реестр и комп как написал cblpok.

  19. 2010-09-13 в 20:55:20 | Баламут

    Алекс! Спасибо,помог ваш метод. До этого ничем не мог убрать.Спасибо всем,кто здесь описАл методы юорьбы .Всем удачи!

  20. 2010-09-14 в 22:20:30 | tema

    спасибо большое всем!!!

    отдельное спасибо КРИВЧУН ВИКТОР и CBLPOK!!!

    у меня была ситуация как у СЕМЁН (GHOST)...

  21. 2010-09-15 в 18:38:53 | Олег Ермолайкин

    Избавился я от этой мерзости очень простым способом: я работал над текстом в Excel.Word.Блокнот. Перед очередной перегрузкой система как всегда задала вопрос: «Сохранить изменения?» Я кликнул на «Отмена». Блокиратор перестал выскакивать на дисплей. Я зашёл в «Восстановление системы» и откатил систему назад, то есть выбрал контрольную точку восстановления до даты появления блокиратора на компе. Все благополучно воостановилось и блокиратор сгинул. Пишу для того, чтобы кто-нибудь (у кого работает функция «Восстановление системы») воспользовался этим нехитрым способом.

  22. 2010-09-15 в 22:26:01 | артём

    Блин у меня тоже этот вирус пробывал всё чтоя смог.через пуск выполнить msconfig не находит pcdef пробывал волшебную палочку устанавливать её блочит, выдаёт ошибку. пробывал переименовывать формат файлов с exe пишет что это приложение уже используется тоже самое если пытаюсь удалить. через каждые 5 минут выкидывает из интернета а минут через 12 перезагрузка. помогите плиз очень уж достала эта гадость

  23. 2010-09-16 в 12:00:59 | Kissliy

    Нихрена не помогают способы, описанные выше. Блокировано и администрирование служб-процессов, и Unlocker блокируется и Malware тоже. Видимо, доделывают код, цуки!

  24. 2010-09-17 в 17:51:27 | Kirill

    Мне тоже не один способ описанный выше не помог, через msconfig не отображает, а все остальные программы блочит(((

  25. 2010-09-17 в 21:13:41 | Дмитрий

    Короче я поймал эту хрень долго думал как от неё избавиться где 2 часа. Пробовал разные проги не чего не вышло... И я уже хотел переустановить винду! А потом я догадался как удалить этот вирус. Всё очень просто я создал 2 учётную запись и тоже сделал Администратором вышел из старой учётки на который вирус и зашёл в ту которую создал нашёл это папку и просто отправил этот вирус в корзину и после этого очистил корзину! вот и всё ! если кто то что то не понял вот мой скайп demon_103

  26. 2010-09-18 в 11:09:12 | mJerry

    PC Defender блокирует все включая Диспетчер задач, Unlocker, Malware. В безопасном режиме ситуация не изменяется. Имеется второй компьютер подключенный по сети к первому. Помогите, второй день мучаюсь.

    З.Ы. Пытался убрать автозапуск всеми службами офиса и виндоус ХР ничего не помогает!

  27. 2010-09-19 в 13:05:40 | Ульяна

    Ребята,если ничего не помогает (как в моем случае), устанавливаем Process Lasso,

    выбираем "удалить файлы при след перезагрузке" все уходит

    вот ссылочка http://fakeware.ru/page.php?al=Total_PC_Defender

    удачи

  28. 2010-09-19 в 17:17:32 | noname

    загружаемся с live cd .удаляем C:\Program Files\Def Group перезагружаемся и чистим реестр:)))

  29. 2010-09-20 в 02:05:00 | ARS

    2. Удаляем PCDefenderSilentSetup.msi из [диск с Windows]:\Windows\Installer\. В принципе можно вообще всё поудалять из этого каталога — его обычно используют только проги, обновления, дополнения от Microsoft...

    Нельзя удалять оттуда ВСЕ файлы. Файлы, которые находятся там, представляют собой копии инсталляционных пакетов *.msi различных программ (далеко не только PC Defender). И, если эти файлы будут удалены, удалить соответствующие программы станет невозможно. Ну и еще MS Office хранит там свои иконки, насколько мне известно.

  30. 2010-09-20 в 02:12:32 | ARS

    Удалите ключи реестра PC Defender:

    HKEY_USERS\.DEFAULT\Software\Def Group\Antispyware

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon «Userinit» => «C:\WINDOWS\system32\userinit.exe,»C:\Program Files\Def Group\PC Defender\Antispyware.exe""

    Как это УДАЛИТЕ? Значение этого ключа надо ИЗМЕНИТЬ на C:\WINDOWS\system32\userinit.exe, (с запятой) Если его удалить полностью, то система ВЫЙДЕТ ИЗ СТРОЯ,

  31. 2010-09-20 в 22:54:27 | dre@mer

    to ARS: при чистке каталога [диск с Windows]:\Windows\Installer\ ничего страшного с системой не произойдет. Зато видел не один комп, когда там скапливалось куча не нужного хлама, и программ-то уже не было таких давно.

    Windows вообще склонна со временем из себя помойку образовывать

    Про userinit соглашусь, система не запустится, но тут вопрос к тому, кто написал.

  32. 2010-09-21 в 12:04:40 | liya

    все способы борьбы с pc defender перепробовала. и вышеописанные и самопридуманные. результатов - ноль. что касается идеи с exel и восстановлением системы - тоже проблема. нажимаю "отмена" а он все равно перезагружается (может там какие то настройки нужны чтобы он меня слушался). и что касается идеи с созданием новой учетки: создала. сменила пользователя. пытаюсь удалить - а он пишет, что другой пользователь ее использует. и так же блокируются все попытки открыть диспетчер или какие либо программы (тот же unlocker). а при перезагрузке и входе под новой учетной записью - снова он на весь экран и девушки во всей красе... они мне в общем то и не мешают. но вирус не дает работать в нете, который срочно нужен. времени на мастеров нет. мозг уже сворачиваю себе третий день. ничего сделать не могу. посоветуйте что нибудь! заранее спасибо

  33. 2010-09-21 в 12:48:22 | liya

    справилась с проблемой в два счета. запустив анвир с флешки и не устанавливая его на комп. http://gps-pc.ru/7/view_post.php?id=47

  34. 2010-09-21 в 19:35:46 | Алекс007

    Людииии, помогите. Ничего не помогает, прописал msconfig там нету pcdef. Второго компа нет, скачивать не откуда. Сижу с телефона и пытаюсь что то сделать

  35. 2010-09-22 в 10:26:26 | dre@mer

    Алекс007 попросите кого-нибудь сделать вам LiveCD или загрузочную флешку. Можете с винтом к друзьм сходить. Боюсь что напрямую, загрузившись с зараженной системы у вас вряд-ли что получтся. Не факт что только PC-Defender на компьютере - с ним то бороться как раз не сложно.

  36. 2010-09-28 в 16:33:42 | mars

    Ничего из вышеперечисленного не помогало

    удалось удалить следующим образом:

    задача удалить два файла из папки DEF Group

    запускаем GlaryUtilitiesPortable, единственная прога ,которую не блокировал PC Defender ,открываем вкладку files&folders в ней disk analysis там выбираем A Folder и ищем два файла которые хотим удалит.Мне удолось удалить один из них во время перезагрузки т.е. была открыта прога как я описал ,выскакивает синий экран перезагрузки PC Defender потом НА 2 СЕКУНДЫ ПОЯВЛЯЕТСЯ ОКНО ПРОГРАММЫ где я успел нажать удалить файл и он улетел в корзину.Пока ждал следующую перезагрузку,что бы удалить второй файл,лазил по этой же програмке там есть вкладка system&tools в ней proces manager там виден процесc PCDEF его удалось остановить ,хотя до удаления файла это действие тоже блокировалось,ну а потом начали запускатся остальные програмки для удаления этого "антивируса".

  37. 2010-09-30 в 10:57:46 | dima

    победил так:

    скачал и запустил drweb cureit с флэшки, указал для проверки папку C:\Program Files\Def Group\PC Defender\

    куреит удалил экзешник, предложил перезагрузиться

    после перезагрузки подчистил реестр и на всяк случай папку windows\installer

  38. 2010-10-07 в 17:48:09 | Lokii

    А я вот просто запустила систему в безопасном режиме и убила эту тварь вручную (поудаляла все ее файлы с компа нафих!), с особой жестокостью и удовольствием! =)

  39. 2010-11-29 в 04:22:08 | piligrim

    Привет! Уменя проблема, поймал блокератора windows! Ключ разблокировки нашёл, но ввести его не могу! Окно полностью блокировано, пожалуйста помогите!!!! Спасибо!

  40. 2010-12-23 в 13:25:48 | Комментатор 1]]>avatar]]>

    Всем привет у меня проблема тоже с блокиратором подцепила его просто закрыв окно на одном из сайтов. после закрытия окна комп сразу ушел в перезагрузку а потом высветилось окно что якобы вы смотрели порно в течении трех часов и для того чтобы продолжить отправьте 400р через мультикассу на номер. блокируется абсолютно все не работает ни клава ни мыш ничего открыть не могу. в компьютерах я мало что понимаю. пожалуйста если кто то сможет напишите пошагово что делать. есть много информации которая нужна поэтому систему снести не могу. Заранее спасибо

  41. 2010-12-23 в 15:44:56 | dre@mer]]>avatar]]>

    Если совсем кратко, то загружаешься с LiveCD или USB флешки с WinPE. Далее в ветке реестра

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    смотришь соотвествия ключей Shell, UIHost и Userinit.

    Shell - Explorer.exe

    UIHost - logonui.exe

    Userinit - C:\WINDOWS\system32\userinit.exe

    Ещё посмотри что запускается в

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    подробнее тут

  42. 2011-02-25 в 20:36:19 | Аноним

    Судя по комментариям многие сталкивались только с самыми безобидными "вымогателями". Из опыта могу сказать, что в 80% случах спасали только LiveCD и AVZ(!), так что наличие данного софта ОБЯЗАТЕЛЬНО!!!

  43. 2011-02-28 в 21:58:07 | dre@mer]]>avatar]]>

    LiveCD крайне желательно иметь, согласен полностью. AVZ последнее время сам мало использую - знаний что править в реестре руками вполне хватает, заодно можно посмотреть где скрывается очередной блокиратор физически в системе. Случаются очень неожиданные решения :)

  44. 2011-04-04 в 22:03:13 | Игорь

    Конечно, всех эффективней live Cd и AVZ, вот мне помогало несколько раз - http://antivir.h18.ru/metodika/0026.html

  45. 2011-04-16 в 19:59:52 | mixa

    после блокады пошел спать

    а утром БИОС не видет жесткого диска-----помогите что делать

  46. 2011-04-19 в 11:50:05 | dre@mer]]>avatar]]>

    Сильно сомневаюсь что данный вирус повлиял на BIOS. Проблема явно в другом месте. Попробуйте, для начала, сбросить настройки BIOS на заводские (перемычка на плате обычно рядом с батарейкой). Если не поможет, проверить винчестер на другом компьютере. Т.е. для начала надо проверить не аппаратная ли это проблема.

  47. 2017-10-27 в 14:31:32 | Akolastikl

    Как случился громкий крах Доткомов в начале 90х годов

ваш комментарий будет опубликован после проверки
на указанный адрес будет отправлено письмо с кодом активации. Вы можете настроить собственный профиль и стать активным участником или автором.