Protože se začínají množit dotazy (nejen tu - všeobecně) a v kanclu mám denně na stole jeden až více PC s "policejním virem", chtěl bych popsat asi nejrychlejší způsob jeho likvidace.

Co jsem zjistil, vir se vyskytuje (možná jen) ve dvou mutacích a spouští se po přihlášení uživatele. Jak by řekli někteří místní rádcové - kindervirus. Je velmi snadné ho zničit, ovšem pokud se člověk nepoučí, chytí ho zpátky eins-zwei.

První mutace viru je se skrytým spuštěním, "rafinovaně" přilepením se k uživatelskému shellu (připomíná mi to některé naše hajzlíky nahoře, kteří rafinovaně přilepí zákon k jinému co s ním naprosto nesouvisí...).
Virus tvoří soubor %APPDATA%\msconfig.dat, kde %APPDATA% je cesta k uživatelské složce např. C:\Users\Uzivatel\AppData\Roaming (pro Win7, pro XP je to C:\Documents and Settings\Uzivatel\Data aplikací.)

Likvidace spočívá v startu Windows do nouzového režimu s příkazovým řádkem, přihlášení se k uživatelskému profilu a zadání příkazu REGEDIT. Tam přejdeme do větve HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon. Odtud smažeme položku Shell, která obsahuje hodnotu Explorer.exe,cesta_k_souboru\msconfig.dat. Zavřeme REGEDIT.
Dále pak zkusíme zadat do příkazového řádku příkaz CD %APPDATA%. Mělo by to skočit do složky, kde je uložený vir. Zadáme DEL msconfig.* (protože jsou tam dva, jeden s příponou dat a druhý s příponu ini).
Pokud se něco nepovede, nevadí, tyto soubory můžeme smazat ručně kdykoliv později nějakým souborovým manažerem, třeba Total nebo Free Commanderem.
Poslední příkaz, který zadáme je SHUTDOWN -r -t 00, tím provedeme restart. Mělo by být odvirováno, pro jistotu projedeme PC na další havěť, to už popisovat nebudu...


Druhá mutace si na nějaké skrývání nehraje, rovnou se zapíše do Po spuštění jako soubor CTFMON.LNK, v jeho vlastnostech je cesta k souboru lsass.exe. Ten je uložen v %ALLUSERSAPPDATA%, u Win7 je to složka C:\Program Data, u XP C:\Documents And Settings\All Users\Data aplikací.

Likvidace je opět velmi jednoduchá. Virus se aktivuje pokud je PC na síti, takže ze všeho nejdřív odpojit síťový kabel.
Jít do START->Programy->Po spuštění, pravá myš na CTFMON, se SHIFTem smazat bez náhrady a restartovat.
Po restartu smazat onen lsass.exe v %ALLUSERSAPPDATA%. Vymalováno.