Сегодня в очередной раз "порадовали" пользователи. Баннер, который блокирует Windows... Вроде дело уже прошлое и подобные баннеры уже не встречаются, но тем не менее на рабочем месте во весь экран видим сообщение, о том, что пользователь посещал "не детские" сайты, о том, что это незаконно и о том, что надо перекинуть на счёт мобильного номера 1000 рублей. Теперь описываю один из способов решения проблемы.

Сразу оговорюсь, что этот способ подходит, если компьютер, на котором вы видите блокирующий баннер, находится в локальной сети и входит в состав домена. Конечно же, служба Active Directory и права доступа в домене должны быть правильно настроены. Только в этом случае процесс удаления баннера будет успешным.

Суть данного метода заключается в удаленном управлении процессами "заражённого" компьютера с другого, "здорового". При этом не важно, где физически находиться этот ("здоровый") компьютер: рядом с "заражённым", в одной подсети или где-то в другом городе. Главное, чтобы Active Directory правильно работала.

Итак, начинаем. Здесь предполагается, что имя заражённого компьютера вам известно.

Для начала нам надо определить какой процесс (его имя и идентификатор - PID) вызывает появление баннера блокировки. Делается это очень и очень просто. На "здоровом" компьютере в командной строке набираем

tasklist /s name

Здесь name - имя заражённого компьютера, в зависимости от настроек сети оно может быть как простым (если, например, компьютеры находятся в одной подсети), так и полным доменным именем в формате имя.домен. Также вместо имени можно использовать IP-адрес.

В результате выполнения команды получаем список процессов, выполняющихся на заражённом компьютере. В нём нам надо лишь понять какой процесс является "лишним", не похожим на процессы, выполняющиеся в режиме обычной работы.

Так, например, в описываемом случае среди других процессов был такой

18490109.exe                  3440                            0       768 КБ

Итак, теперь мы знаем какой процесс вызывает появление баннера. Для "разблокировки" уже не надо перечислять куда-либо деньги (да и вообще не надо поощрять разработчиков таких "шедевров"), достаточно лишь отправить заражённому компьютеру команду на завершение вредоносного процесса. Эта команда выглядит так

taskkill /s name /f /t /pid PID

name здесь как и в предыдущей команде обозначает имя или IP-адрес компьютера, а PID - идентификатор процесса баннера (в нашем случае 3440). Выполняем команду, при этом баннер на заражённом компьютере пропадает (с некоторой задержкой, связанной с выполнением команды по сети).

Теперь необходимо удалить этот файл с заражённого компьютера, а также (что очень желательно) удалить все возможные ссылки на него в реестре и папках автозагрузки.