zablokování pc policií ČR

Ozivujem toho vlakno, dnes som dostal do ruky novu mutaciu tohoto viru, nudzak nejde, nepomahaju ani linuxove unlockery, takze zatial som bezradny. Ale dnes ho dam dole urcite, takze vecer potom napisem ako som dopadol;o);

Flegu, dnes jsem řešil tu "novou" variantu - chce 3000kč a spouští se i v nouzáku. Nespouští se ale v Nouzáku s příkazovým řádkem!
Čili postup:
1. stáhnout na flashku Total Commander, MBAM a spustit Nouzák s příkazovým řádkem. Ideálně si ten T. Commander na flashku hned rozbal.
2. Po nastartování naběhne hned příkazový řádek, přesuneš se na flashku a z ní spustíš T. Commander. Potom vlezeš do uživatelského účtu, adresář Po spuštění - c:\Users\ChrobakVreco\AppData\Roaming\Microsoft\Wi ndows\Start Menu\Programs\Startup a tam smažeš, co najdeš (samozřejmě musíš mít zapnuté zobrazování skrytý souborů). Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT.
3. Restartuj do Nouzáku s prací v síti, smaž ty TXT soubory, spusť a aktualizuj MBAM a vyčisti zbytky.

edit: jen doplním, že jakmile v tom Nouzáku s příkazovým řádkem (čili v kroku 2) dostaneš ten blbej nápad jako já a napíšeš do něj explorer, máš tu mrchu přes celou plochu.

Ahoj. Snažím se to udělat podle tvého návodu. Už jsem zapnul nouzovy rezim s příkazovým řádkem a jsem v total commanderu. Ale nemuzu najit app data. Jak dal?

musíš mít zapnuté zobrazování skrytých souborů

máš?

Zasekl jsem se zde "Pak vyskoč o pár úrovní výše, do c:\Users\ChrobakVreco\ a tam najdi všechna DLL a změň jim příponu, třeba na TXT" vzdyt tam jsou jen slozky.

Složky nechat - doufám, že máš zapnuto zobrazování skrytých a systémových souborů.
Spusť regedit a podívej se, co je napsáno ve větvi

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

u klíče "shell="

Kdyz otevru winlogon, je tam 5 čeho si, co presne chces vedet?

Píšu přece

u klíče "shell="

Nic takoveho nevidim. Je tam jen 5 veci. (Výchozí); BuildNumber; ExcludeProfileDirs; FirstLogon; ParseAutoexec

Tak to bude jiná varianta, než o které píši.
V tom případě zkuste boot CD AVG - avg-rescue-cd
nastartovat z něj, aktualizovat virové definice a nálezy ostranit.

Pokud se nepletu, je to mozne udelat i pomoci usb? Jo a jeste jsem spustil v nouzovem rezimu malwarebytes. Mam to n3chat dosk3novat?

Usb flashky*

Tak to dokontrolovalo a naslo to 3 trojske kone ktere jsem smazal a restartoval pc a ted kdyz se prihlasim tak se vub3c nic n3nacte. Jen cerna obrazovka.

Nakonec pomohla obnova systému.

Vcera som natrafil zrejme na dalsiu verziu.

Nenasiel som nic v Startupe ani v registroch, MBAM nasiel jediny infikovany file v Users\nl12345\AppData\Roaming altshell.nieco. Po zmazani tohto suboru problem odstraneny (odstranil som aj vsetky tempy prehliadaca). Infikovany bol pritom iba tento jeden pouzivatelsky ucet, na ostatne sa prihlasit islo, neslo sa ale prihlasit do Safe modu s networkingom. Dostalo sa to ku mne cez Operu (cize asi cez deravy flash).

Tuhle variantu řeším právě teď - kromě toho AltShell.dat má vedle sebe (ve stejném adresáři) ještě AltShell.ini a v registrech je zašitý ve větvi [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] jako hodnota "shell"=.

jak primitivní
ale jak účinné
winlogon v hkcu- dobrý, nápady jim nechybí.

Teď sem tu měla něco podobného :/ z ničeho nic mi to tu vyskočilo. Tak sem vypla PC, při zapnutí zase naskočil, ale při přihlášení na můj účet se t objevilo znovu a při přihlášení na účet "Host" to normálně šlapalo. Tak jsem to nechala naběhnout dala ctrl+alt+ delete a dala sem vypnutí PC.. naběhla mi v ten moment obrazovka a začalo se to odhlašovat. rychle sem na něco klikla, ono se to stihlo otevřít a tak se mě to zeptalo jestli to může vynutit vypnutí, tak sem to stornovala a od te doby mi to už nenabíhá. Prohledávala sem i PC antivirem a nic už nenašel. Myslíte že už se nemusím obávat, že to tu někde skrytý mám? děkuji :)

Niekde to tam urcite je a po restarte to zas nabehne. Mas naprd antivirak. Ked to nenabieha po starte tak mozno si to zrusilo zaznam v registry a nemusis to riesit.