Virus policie české republiky
Ahoj už podruhé se mi počítač sekl tímto virem. Poprvé mě to stálo 500Kč. Teď jedu v nouzovém režimu. Jde se toho viru nějak zbavit "podomácku" abych nemusel zase platit 500? Děkuji za rady. Jsem počítačový amatér a moc tomu nerozumím.
Vpravo do toho hledacího okénka napsat policie a číst.
na odstranění tu mif doporučuje rogue killer.
proti znovuzavirování:
Stáhni si, nainstaluj a použij Spybot S&D.
Návod máš třeba zde: http://www.antivirovecentrum.cz/navody/spybot-sear ch-and-destroy-v2-nastroj-na-odstraneni-spyware-a- dalsich-potvor.aspx
myslíš ten zahnojovač hosts souboru? to je rada za všechny prachy.
abychom si rozumněli:
tady nejsi na viry.cz. kde se věčně zavirované děti předhánějí ve výkřicích, jaký ještě nejmenovaný antivir/antispyware použít. ale jde o to, co účinně zabere.
a pokud se dá najít systémové řešení proti zavirování, je to ještě lepší. protože zkoušet dokola jakési odvirovávače je nesmysl.
abychom si rozumeli:
Opet, vlastne jako vzdy, kdyz se snazis mluvit k necemu cemu nerozumis, jsi vedle. Na viry.cz se nikdo neprekrikuje, tak jako tady, to za prve. Za druhe tam neradi navstevnici fora, ale moderatori, kteri temer nikdy nedoporucuji antivir ani antispyware k odstraneni nakazy.
To jen tady se na vse doporucuje vselek Superantispyware, ktery uz je davno za zenitem. Tak se zamysli, kdo se predhani ve vykricich, i kdyz sebereflexe je u teto poradny sproste slovo.
Je zvlastin, ze se porad motas do temat, ktera jsou o AV, virech atp. kdyz ses jednoznacne timto tematem nepoliben.
vidíš tu někde odstraňování "policejního viru" superantispywarem?
máš problémy se čtením a chápáním psaného textu? nebo o čem to meleš?
Se ti divím, takovej specialit na nákazy a ještě jsem nezaregistroval, že by si někomu pomohl.
Zatím jsi jen věčná opozice a kritik.
(tvůj program je asi hádat se za každou cenu s kde kým)
Co jsem se setkal s pár případy policejního viru, tak stačilo z adresáře Po spuštění odstranit zástupce ukazujícího na infikovaný soubor, včetně toho souboru. Stačilo tedy vyhledat předmětný adresář (pozor - jsou vlastně dva, jeden pro daného uživatele a druhý pro všechny uživatele) a podívat se, na co ukazují zástupci v tomto adresáři. Pokud to ukazuje na něco divného, tak smazat hlavně to něco divného a pak i toho zástupce.
Tato rada nemusí být univerzální - virus se stále vyvíjí a tak se už může spouštět jinak. Kromě toho není tím zaručeno, že se odstraní všechno beze zbytku. On totiž ten virus má, kromě této viditelné části, i část skrytou, která vytvoří z počítače zombie a která se tímto postupem (a dokonce možná ani doporučovanými jinými prostředky) neodstraní. Osobně bych zprovoznil počítač pro záchranu dat (pokud jsi takové trdlo a máš na systémovém oddílu nenahraditelná data) a potom, pro jistou, přeinstaloval operační systém. pro mě by to ybla záležitost na pár minut - mám image systémového oddílu, pro tebe to asi bude zdlouhavější záležitost.
Také bych si odzálohoval důležitá data a udělal reinstal OS, než půl dne vymýšlet jak to odstranit, nakonec stejně třeba nezbude jiná možnost než to reinstalovat.
No jo, ale odzálohovat data v případě napadení ???
Můžu vydnat HDD a někde ho vysypat nebo přes nějaké LIVE CD, ale reinstal OS je neuvěřitelnej vopruz, protože ještě po půl roce zjišťuješ kterej software nemáš....
Navíc v případě tohoto trojana není toto radikální řešení vůbec potřeba a jde vyléčit i poslední "zemanovská" verze :)
http://hbbtv.biz/virus%20policie%20ceske%20republi ky/index.html
kvůli jednomu souboru a jednomu záznamu v registry reinstalovat Windows? No nazdar. Ke kindervirům přidáme ještě kinderadmin postup.
edit:
Kinderantivirová klikačská podpora v akci.. ROFL.
velice dobrá reakce to je to co všichni dělají je nějaký roblem a všichni by hned dělali reinstal misto toho aby se zajimali kde vznikla chyba
Zdravím,
chytnul jsem tuto mrchu na notebook s Win7, byla to ta z těch posledních verzí, takže nefungovaly postupy s nouzovým režimem. Na základě doporučení zde na fóru jsem si ale trochu hrál s Alt + Ctrl + Del a s Esc, a podařilo se mi nějakým štěstím dostat v běžném režimu na desktop -> dle rady z poradny jsem spustil přes flašku OTL, něco to našlo a odstranilo, potom jsem aktualizoval ESET, Javu a Adobe, projel to ESETem, SUPERantiSpyWarem a nakonec ještě Advanced System Care. Všechny aplikace něco našly a odstranily/vyléčily, kromě toho jsem odstranil podivný soubor z "po spuštění" (i z disku) - "j6vrjerod". Již po použití OTL najížděl po restartu počítač normálně bez "police okna", ale chtěl jsem např. spustit příkazový řádek, ale nespustí se a jen problikne, takže mám podezření, že ještě nemám vyhráno a něco z té zákeřné aplikace tam ještě je a blokuje spuštění příkazového řádku (nebo to blokuje něco jiného).
Co byste ještě doporučili za postup, jak zjistit, co se na PC ohledně tohoto "viru" nachází? Děkuji.
Tak flaška vše vyřeší :D Jsou tuny návodu zde.
Někdo tu radil OTL? Někdo tu radit Superantispyware?
Nikdo tu neradil MBAM? Nikdo tu neradil resetovat hodnotu "shell=" v registrech?
OMG jak sem psal, jsou tu tu tuny rad. Nevím proč lidé neznají pole "hledat"
OMG jsi nějakej nervózní - nemáš filcky?
To bylo na mě?
"Někdo tu radil OTL?" Ano, radil. Vláken s policejním virem je tady více, v jednom z nich to radil jeden, tuším slovenský uživatel.
"Někdo tu radit Superantispyware?" Ne přímo na toto, ale obecně jako jedna z nejlepších věcí na podezřelé aplikace mi to zde bylo dříve doporučeno.
MBAM jsem nezkoušel, když jsem zkoušel nejdříve ten OTL.
Resetovat hodnotu "shell=" v registrech...jak to udělat? :(
příkazový řádek vyzkoušej i z jiného účtu nebo nouzového režimu.
taky se podívej do registrů, co má v sobě nastavené na automatické spuštění:
to samé pro případný "AutoRun" v:
Děkuji za vstřícnou reakci, na rozdíl od ostatních.
píšeš o problémech s cmd.exe, to by mohl mít na svědomí ten obsah, co jsem popsal.
kolega tu ještě zmínil obsah "shell" - zkontroluj tyto dvě proměnné:
Omlouvám se za dotaz, ale kde všechny tyto věci zkontroluji? Děkuji.
Beru zpět a stydím se.
...Tak jsem se přihlásil.
[HKEY_CURRENT_USER\Software\Microsoft\Command Processor] "AutoRun"="příkaz"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Command Processor]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
jak vidíš, vše ok.
pokud žádný antimalware nic nenašel, ještě můžeš udělat kontrolu systému:
taky pokud se dá vrátit bod obnovení o pár dní zpět, může zabrat.
ale v každém případě potom záplatovat doplňky v prohlížeči: adobe reader, adobe flash player, java. nebo zakázat co nepoužíváš.
sfc dělá stejnou věc, jako příkazový řádek, tzn. problikne a zmizí, takže kontrola nelze provést. Bod obnovy bych zkusil, ale nemůže se tím vrátit i nějak ten malware?
jestli si vzpomínáš, který den po startu byl pc nakažený, tak ho dáš dřív.
příkazový řádek není vodorovné vyhledávací políčko. příkazový řádek je cmd.exe, v něm ten příkaz spustíš.
Jako to, že příkazový řádek není vodorovné vyhledávací políčko vím, i když chápu, že vzhledem k dotazům, které zde pokládám, to tak nemuselo vypadat. :)
Jde o to, že cmd.exe jen problikne a zmizí.
Jinak díky Sejtn za další rady.
resil jsem to z boot cd přejmenovat run32dll, pote nabehle PC bez plochy.
Ctrl+Alt+Del
nova uloha: explorer a cmd (nebo uz rovnou regedit)
Pote jsem zacal ukončovat služby svchost (připravte se shutdown -a v cmd) az jsem je všechny pobil a naskočila plocha a uz slo lecit.
Ještě k tem registrum:
HKLM\SYSTEM\ControlSet001\Services\winmgmt\Paramet ers
HKLM\SYSTEM\ControlSet002\Services\winmgmt\Paramet ers
HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\Par ameters
Taky se mi ho podařilo chytnout a byl to už ten lepší co odmítal pouštět do nouzového režimu,ale při restartování pc mě něco napadlo při restaru se mi zobrazila tabulka s vynutit vypnutí programů a nebo storno,to už jsem nestihl takže jsem zapnul a hned zase restart a šup rychle jsem kliknul na storno,je to otázka snad vteřiny,ale hups pc se nevypnulo a vir ale si myslel že ano.není zas tak chytrej kluk ušatá,no a potom smazat zabít a pro jistou obnovit systém a voalá jsem cajk .
Tak naformátuj "Céčko" a máš po starostech..
Ano formát C: či nová instalace Windows je sice řešením tohoto problému, ale naprosto zbytečně !!!!!
Kdo pak má x hodin nastavovat znova poštu,tiskárny,certifikáty atd... ???
Takže tato lapálije jde jednoduše vyřešit třeba podle tohotu návodu:
vir_policie_cr.html
A pokud ne (jsou nové mutace) tak volat odbornou pomoc a né ty co tvrdí, že pokud nefunguje nouzák tak je potřeba nová instalace WIN...
Vycházíš ale z (možná) špatného předpokladu: Předpokládáš, že když není obrázek, není virus. Podle některých názorů ale není vyloučeno, že tenhle virus má ještě jednu, nezjevnou část, že totiž vytvoří z počítače zombie. Potvrzeno to sice není, je to jenom podezření (a abych pravdu řekl, poslední dobou jsem kolem tohoto viru moc nepátral, takže moje informace mohou být zastaralé), ale už toto podezření, alespoň mně, stačí na to, aby raději volil přeinstalaci/obnovu systému, než se stal součástí vypečeného botnetu. Samozřejmě, pokud by se ukázalo, že všechno je doopravdy jenom v tom spuštění po startu, nedělal bych si s tím hlavu, ale být v botnetu ... to bych nechtěl.
Tak mě taky dnes ta svině navštívila. Bohužel, všechny antiviráky zde zmíněné nic neudělaly, sice něco vyházely, ale ve Windowsech se už nejde dostat ani do správce úloh. Zkusím ještě bootovací CD od AVG a uvidíme, ale moc šancí tomu nedávám... Už se s tím s..u několik hodin
tím boot cd jsi měl hned začít.
denně aktualizované boot cd má kaspersky, jiné jsou něco mezi denně až měsíčně (avira, drweb, avg).
ale když musí být surfovač administátor a používá děravé doplňky v prohlížeči, má co si zaslouží.
Brtníku, hlavně že přesně víš jak na tom jsem... Nehodil jsi mi ten virus do compu náhodou Ty?
Jsem uživatel, ne programátor, s počítačema toho moc neumím jako většina lidí. Každopádně - ani jeden ten antivir mi nešel aktualizovat (že by vychytávka distributorů viru?) a každý něco našel, ale žádný mi zatím nepomohl k přístupu do Windowsů. Už mi tam svítí jen bílá obrazovka s nápisy Interpol. Bootovací CD taky nepomohlo...
Tak jsem to dal... Bootovací CD od AVG a RogueKiller pomohly!
Ani Rescue CD AV Kaspersky ani Roque killer na novou verzi z prosince 2013 a ledna 2014 nepomáhá!!!
POZOR, na novou verzi nepomáhá ani výše inzerované boot CD AVG!!!
na jakoukoli verzi nepomáhá blbost uživatelů.
buď si ten krám obětavě nainstalují sami, nebo to zneužívá zastaralé doplňky v prohlížeči, které tam nemají co dělat.
hlavně že musí na internetu opruzovat jako admoši, správci a podobná nezvladatelná holota.
Neporadils. Tohle má být poradna a ne prudírna.
Pro ostatní: Údajně zabirá ESET SysRescue Boot CD. Vyzkouším a dám vědět. Prudit nebudu.
antivirových boot cd je více, byly zmiňovány v několika threadech k tomuto viru.
tys vyzkoušel avg a lamentoval jsi tu, že nefunguje. no a? k denně aktualizovaným patří např. kaspersky. takže znovu, i pro ty co moc nečtou:
avg-rescue-cd
livecd
rescuedisk
http://www.avira.com/en/download/product/avira-ant ivir-rescue-system
nejsem denním uživatelem těchto cd, prostě proto že viry nemám. ale vím, že existuje řešení jak vyfakovat s virem, i možnost se nakažení pc vyhnout - přestože to je pro domácí samoadminy nepochopitelné.
kádrovat, kdo radí či prudí, to ti jde.
Brtník naopak radí nejlépe - systematicky a správně. Přesně pojmenoval důvody, proč ses zaviroval a naznačil ti, že je jen otázka času, kdy se tak stane zase. A navíc poradil, jak takové problémy elegantně vyřešit. Pokud jsi jeho radám nerozuměl, nehledej chybu u Brtníka.
Vytahujem to sem, lebo sa to stale siri, tak citajte.
Tento virus som uz viac krat odstranoval, prvy krat ma to tak dozralo, ze som sformatoval cely hardisk.
TOTO JE NAJLEPSI A NAJRYCHLEJSI NAVOD na odstranovanie vsetkych policajnych virusov, kto kedy kde napisal a napise (lepsi uz nik nenapise).
Vsetci riesia, ako odstranit samotny virus priamo, no kedze ti chlapci co to robili boli tiez trosku sikovny (sikovnejsi ako 999999999999999999999999,9999999% z vas) a toto predpokladali, treba na to ist opacne. Mne toto doslo az po asi niekolko dnovom odvirovani uz neviem kolkeho stroja.
Takze otazka pre mna bola, ako to o..bat. No a co potrebuje program na beh? No JAVU! Takze som jednoducho vymazal (resp. premenoval adresar) Javy. Toto ked spravis, virus sa nespusti, resp. hned pri spusteni padne!
Mozes to spravit cez nejaky file manager, skrz live cd alebo aj Kaspersky Rescue Disk ktory ma tiez file managera.
Telo virusu je ukryte v Tempe a ma uplne pitomu priponu. Potom Uz len vymaz secky tempy a vycisti aj startup od tychto veci a si zahojeny.
Toto spravis za 1 minutu aj s pofajcpauzou a neminas pecto sesto hodin draheho casu. Dakujem, dakovat nemusite.
takže podle toho když nebudu mít nainstalovanou javu, nemůžu ten vir ani chytit?
virus jsem nedávno zkoušel - někdo sem dal odkaz a zvědavost mi nedala.
javu nemám v prohlížeči povolenou.
takže není zač děkovat - nevíš, o čem píšeš.
drevokocure děkuji.
Před týdnem jsem úspěšně vyzkoušel.
Při náhodné návštěvě známých mi pán řekl a viru ( starší pc win xp ).
Na počítači jeho paní jsem stáhnul Hirens boot cd a vypálil a pak na postiženém pc spustil mini XP.
Smazal jsem obsah tempu a složku Java. Po restartu win naběhly s hláškou, že je vypnutý Active desktop a objevilo se okno, že nelze spustit program ...\uživatel\...\Temp\jakýsi.dll. V registrech jsem to nenašel. Bylo to ve složce Po spuštění.
Ještě jednou děkuji.
Edit: nejvíc času zabralo stahování a vypalování.
Ahoj, taky bych rád přispěl svým dílem do mlýna.S touhle potvorou už sem se párkrát setkal.
Dělám operátora ServiceDesku jedné velké plzeňské firmy. A již několik uživatelů tento vir chytlo. Samozřejmě jako uživatelé nemají téměř žádná přístupová práva a přesto se jim podařilo ho chytnout. Léčba byla většinou snadná pomocí antiviru a v jednom případě KasperskyLive. Pravděpodobně to šlo tak snadno z důvodu omezených práv pro uživatele, tudíš se vir tak nerozšířil (pouze hypotéza).
Já sám sem jej chytl přesně před vánoci, pročet sem několik fór o tomhle problému a šel sem léčit, při najetí do nouzového režimu se okamžitě restartoval a KasperskyLive a EsetOnlineScan nenašli nic. Tudíž sem reinstalil.
A co čert nechtěl včera mi tu Zeman blikal zas! Nyní alespoň vím kde sem si ho pořídil ->
Firefox s hláškou sem v taskmanageru ukončil a pokračoval v práci ve chromu(potřeboval jsem nejdřív něco dokončit). Prolezl jsem opět několik fór s tímto problémem a poznamenal si všechny možný rady a jal se léčit(reinstal sem fakt nechtěl). Poprvé, než to prvně restartnu, jsem vyzkoušel metodu "vypnout a rychle storno". Měl sem štěstí že mi tam něco vázlo ve vypnutí, takže sem měl šanci dát storno. S "odstaveným" virem jsem pustil EsetOnlineScan a projel, našlo mi to několik hrozeb, které sem odstarnil. Poté sem rebootoval do KasperskyLive, aktualizoval a projel. Našlo jednu hrozbu.
Poté sem nabootoval do nouzového režimu bez sítě a zkontroloval registry o kterých se všude psal. Byli v pohodě.
Pak boot do nouzáku se sítí a znovu EsetOnlineScan. Ten už vyšel čistej.
Nyní sem nastartoval normalní stav, pustil firefox a nic, Zeman žádnej. Vypadá to že krize byla zažehnána. Ještě se podívam na fórum jak opravit některé ty registry po viru a bude to.
Houwk
Pozeram, ze v tom ma stale kopec ludi hokej a ze sa tu zase siria bludy a dezinformacie.
Prva vec je, ze sa tu davaju dokopy dva virusy, ktore sa na seba podobaju, ale nie su totozne. Prvy je klasicky uz asi 2 roky saskujuci virus siriaci sa cez dieru v jave a vo flashi. Tento vam po nalogovani znefunkcni plochu, zablokuje klavesnicu a cez celu obrazovku zobrazi policajnu hlasku. Vorus defacto znemozni pracu na pc, cize je nutne jeho odstranenie.
Existuje niekolko mutacii tohoto viru, sposoby odstranenia su rozne a vacsina antivirov ho uz zvlada tiez.
Potom je tu druhy podobny virus siriaci cez dieru v javascripte. Cez js zmeni konfiguracny subor FF, ci Chromu a znemozni uzavriet tento tab. Liecba je velmi jednoducha, staci vypnut js v danom prehliadaci, dany tab uzavriet a js opat povolit. Toto by som virusom ani nenazyval je to nieco, co bolo spravene rychlo a na kolene, ale evidentne zabera a ludia opat platia ako blbi.
Btw s touto variantou som sa stretol len vo FF a Chrome zatial, mal ju uz niekto aj v inom prehliadaci?