zablokování pc policií ČR

Ozivujem toho vlakno, dnes som dostal do ruky novu mutaciu tohoto viru, nudzak nejde, nepomahaju ani linuxove unlockery, takze zatial som bezradny. Ale dnes ho dam dole urcite, takze vecer potom napisem ako som dopadol;o);

Flegu, dnes jsem řešil tu "novou" variantu - chce 3000kč a spouští se i v nouzáku. Nespouští se ale v Nouzáku s příkazovým řádkem!
Čili postup:
1. stáhnout na flashku Total Commander, MBAM a spustit Nouzák s příkazovým řádkem. Ideálně si ten T. Commander na flashku hned rozbal.
2. Po nastartování naběhne hned příkazový řádek, přesuneš se na flashku a z ní spustíš T. Commander. Potom vlezeš do uživatelského účtu, adresář Po spuštění - c:\Users\ChrobakVreco\AppData\Roaming\Microsoft\Wi ndows\Start Menu\Programs\Startup a tam smažeš, co najdeš (samozřejmě musíš mít zapnuté zobrazování skrytý souborů). Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT.
3. Restartuj do Nouzáku s prací v síti, smaž ty TXT soubory, spusť a aktualizuj MBAM a vyčisti zbytky.

edit: jen doplním, že jakmile v tom Nouzáku s příkazovým řádkem (čili v kroku 2) dostaneš ten blbej nápad jako já a napíšeš do něj explorer, máš tu mrchu přes celou plochu.

help !!! tak jsem ted toho vira nasál taky mám NTB s Windows 7 a vir mi zablokoval administrátorský účet. Mám vytvořeny ještě jednoho standrdního uživatele, přes kterého se do ntb dostanu. je možná nějaká snadná pomoc pro úplného laika ? vůbec netuším co je to MBAM apod.... ani jak v průzkumníku zobrazím skryté soubory. když si rozkliknu ikonu po spuštění vidím tam jen program Bluetooth.... A požívám antivir ESET NOD 32 antivirus 4 - to je divné, že ten vir nezachytil a nevymazal... Díky.

ESET NOD 32 je k hovnu, tuten antivirus ti tam natahá ty viry spíše než aby tě chránil...

Ahoj. Snažím se to udělat podle tvého návodu. Už jsem zapnul nouzovy rezim s příkazovým řádkem a jsem v total commanderu. Ale nemuzu najit app data. Jak dal?

musíš mít zapnuté zobrazování skrytých souborů

máš?

Zasekl jsem se zde "Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT" vzdyt tam jsou jen slozky.

Složky nechat - doufám, že máš zapnuto zobrazování skrytých a systémových souborů.
Spusť regedit a podívej se, co je napsáno ve větvi

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

u klíče "shell="

Kdyz otevru winlogon, je tam 5 čeho si, co presne chces vedet?

Píšu přece

u klíče "shell="

Nic takoveho nevidim. Je tam jen 5 veci. (Výchozí); BuildNumber; ExcludeProfileDirs; FirstLogon; ParseAutoexec

Tak to bude jiná varianta, než o které píši.
V tom případě zkuste boot CD AVG - avg-rescue-cd
nastartovat z něj, aktualizovat virové definice a nálezy ostranit.

Pokud se nepletu, je to mozne udelat i pomoci usb? Jo a jeste jsem spustil v nouzovem rezimu malwarebytes. Mam to n3chat dosk3novat?

Usb flashky*

Tak to dokontrolovalo a naslo to 3 trojske kone ktere jsem smazal a restartoval pc a ted kdyz se prihlasim tak se vub3c nic n3nacte. Jen cerna obrazovka.

Nakonec pomohla obnova systému.

Virus nakoniec nebol az tak mudro spraveny ako som si myslel....teda videl som aj lepsie chranene viry.
V strucnosti stacilo zmazat vsetky exace, ktore boli v tomto pripade natahane len v tempoch (v roznych diroch, ale), cize celkovo bola ta mutacia dost primitivna.
To som samozrejme nevedel, takze som sa s nou asi 2h hral. Okrem vetvy po spusteni bol totizto virus poisteny aj v registroch pri spusteni explorera sa aktivoval aj sam, stacilo napriklad zabit explorer.exe na zaciatku a mohol si v pohode byt v systeme...to som tiez samozrejme nevedel.
Povodne som sa s tym hral v tom nudzovom rezime msdosackom, kedze sa tam nespustal explorer.exe, ale po odstraneni casti virusov mi prestal nabiehat, tkaze som vo finale nabootoval v linuxe, vymazal vsetky exace z tempov a vetvy startup a prezrel si registre, kde som objavil to nahookovanie na explorer.
Nakoniec som este nieco zabudol, pretoze po starte do Windows bol v startupe opat obnoveny spustaci skript, ktory vsak uz volal neexistujuce exace, takze sa nic nestalo. PC som docistil antivirom po restarte sa uz v startupe nic nezjavovalo.
Podla logov z antiviru doslo k nakaze neaktualizovanou Javou, majitel nb vsak tvrdil, ze virus nanho vyskocil pri pozerani porna, co by skor ukazovalo na dieru vo flashi.

Dakujem pekne fleg,,,

Vcera som natrafil zrejme na dalsiu verziu.

Nenasiel som nic v Startupe ani v registroch, MBAM nasiel jediny infikovany file v Users\nl12345\AppData\Roaming altshell.nieco. Po zmazani tohto suboru problem odstraneny (odstranil som aj vsetky tempy prehliadaca). Infikovany bol pritom iba tento jeden pouzivatelsky ucet, na ostatne sa prihlasit islo, neslo sa ale prihlasit do Safe modu s networkingom. Dostalo sa to ku mne cez Operu (cize asi cez deravy flash).

Tuhle variantu řeším právě teď - kromě toho AltShell.dat má vedle sebe (ve stejném adresáři) ještě AltShell.ini a v registrech je zašitý ve větvi [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] jako hodnota "shell"=.

jak primitivní
ale jak účinné
winlogon v hkcu- dobrý, nápady jim nechybí.

Teď sem tu měla něco podobného :/ z ničeho nic mi to tu vyskočilo. Tak sem vypla PC, při zapnutí zase naskočil, ale při přihlášení na můj účet se t objevilo znovu a při přihlášení na účet "Host" to normálně šlapalo. Tak jsem to nechala naběhnout dala ctrl+alt+ delete a dala sem vypnutí PC.. naběhla mi v ten moment obrazovka a začalo se to odhlašovat. rychle sem na něco klikla, ono se to stihlo otevřít a tak se mě to zeptalo jestli to může vynutit vypnutí, tak sem to stornovala a od te doby mi to už nenabíhá. Prohledávala sem i PC antivirem a nic už nenašel. Myslíte že už se nemusím obávat, že to tu někde skrytý mám? děkuji :)

Niekde to tam urcite je a po restarte to zas nabehne. Mas naprd antivirak. Ked to nenabieha po starte tak mozno si to zrusilo zaznam v registry a nemusis to riesit.