 |
Poznámka:
Nejnovější verze produktů ESET NOD32 Antivirus / ESET Smart Security 8 jsou vybaveny proaktivními technologiemi a minimalizují možnost infikování počítače tímto typem viru.
Pokud používáte starší verzi programu ESET, doporučujeme provést aktualizaci na nejnovější verzi.
|
Pokud se vám po spuštění počítače zobrazila obrazovka s upozorněním, že váš počítač byl uzamčen z důvodu přechovávání a distribuce dětské pornografie atp., nejedná se o skutečnou informaci od Policie ČR. V tomto případě jste byli infikováni policejním virem z rodiny Ransomware. Protože existuje velké množství mutací policejního viru, přinášíme vám několik postupů, pomocí kterých se infiltrace zbavíte.
» Obnovte systém do předchozího stavu
» Proveďte kontrolu pomocí ESET Online Scanner
» Použijte SysRescue a ručně odstraňte infiltraci
 |
Upozornění:
Každý den vznikají desítky různých mutací policejního viru. Vizuál je sice stejný, ale zdrojový kód odlišný.
|
I - Obnovení systému do předchozího funkčního stavu
Nejjednodušší možností je navrátit počítač pomocí bodu obnovy do předchozího stavu do doby, kdy systém nebyl infikován.
 |
Pomocí příkazového řádku spusťte systémový nástroj Obnovení systému
Windows 7/8: zadejte příkaz rstrui.exe
Windows Vista: zadejte příkaz cd C:\Windows\System32\ a poté rstrui.exe
Windows XP: zadejte příkaz C:\Windows\system32\Restore\rstrui.exe
|
 |
Postupujte podle pokynů na obrazovce a vyberte bod obnovy ze dne před tím, než došlo k infikaci systému.
|
nahoru
II - ESET Online Scanner
V případě, že nemáte k dispozici žádný Bod obnovení z neinfikovaného stavu nebo máte tuto funkci vypnutou, proveďte kontrolu počítače v nouzovém režimu.
III - Ruční odstranění souborů a úprava registru
Pokud první dva kroky nezabraly a nedostanete se do nouzového režimu, připojte disk z napadaného počítače k jinému stroji nebo použijte ESET SysRescue, resp. jakékoli jiné linuxové Live CD. Následně z pevného disku ručně odstraňte infikované soubory a proveďte úpravu registru.
|
Upozornění:
Tento postup je určen pro zkušené uživatele. Nesprávnými kroky můžete nenávratně poškodit systém.
|
 |
Ve Windows Vista/7/8 v umístění C:\Users\Uživatelský účet\AppData\Local\ najděte soubor s prapodivným názvem typu 645436414059299.exe, wgswgsdgsdsgsd.exe aj. a tento soubor odstraňte.
Zaváděcí soubor viru se obvykle nachází také v umístění:
C:\Users\Uživatelský_účet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.ink
C:\Users\Uživatelský účet\AppData\Roaming\runctf.ink
C:\Users\Uživatelský účet\AppData\Roaming\altShell.dat
Ve Windows XP se virus nachází obvykle v těchto cestách:
C:\Documents and Settings\Uživatelský účet
C:\Documents and Settings\Uživatelský účet\Nabídka Start\Programy\Po spuštění\runctf.ink
C:\WINDOWS\Prefetch
C:\Documents and Settings\uzivatel\Data aplikací\AltShell.dat
|
|
Odstraňte obsah dočasných složek (Temp).
|
|
Poznámka:
Kde se přesně spouštěcí soubor nachází, můžete zjistit v některých případech také v registru Windows.
|
|
Klikněte na Start > Spustit a zadejte příkaz regedit.
|
|
Stiskněte klávesy CTRL + F, zadejte řetězec command processor a klikněte na tlačítko Najít další.
|
|
Hledejte hodnotu Autorun, která odkazuje na cestu k nějakému souboru
– často C:\Users\Uživatelský účet\AppData\Local\Temp.
|
 |
Uvedenou hodnotu vymažte z registru a odstraňte také soubor, na který odkazuje.
Stiskněte klávesu F3 a ujistěte se, že se již v registru nenachází žádná další hodnota.
|
Řešení dalších problémů
Pokud jste policejní vir úspěšně z počítače odstranili, ale při spuštění počítače se zobrazí pouze příkazový řádek (černé okno a blikající kurzor), postupujte podle následujících kroků.
|
Klikněte na Start > Spustit a zadejte příkaz regedit.
|
|
Přejděte na větev HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Obsah hodnotu Shell přepište z cmd.exe na explorer.exe, případně ji zcela odstraňte.
|
|
Poznámka:
Toto platí pouze v případě, že jste přihlášeni pod napadeným uživatelským účtem. Výchozí nezměněná hodnota Shell v HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon je explorer.exe.
|
Cesty a názvy viru se mohou lišit v závislosti na konkrétní mutaci. Policejní vir stejně jako další infekce často vznikají do systému bezpečnostními dírami neaktualizovaného operačnímu systému, zranitelnostmi v technologiích Java, Adobe Reader, Adobe Flash Player atp. Dbejte tedy prosím na prevenci a minimalizujte riziko použitím posledních verzí programů a jednotlivých doplňků.
|
Poznámka:
Komerční banka již pro přihlášení do internetového bankovnictví nepotřebuje doplněk Java. Pokud nemáte jinou aplikaci, která by jej vyžadovala, doporučujeme zranitelný doplněk Java z počítače odinstalovat.
|
Štítky: policejní vir, ransomware, vir policie, vir zeman, vir česká policie, policejní virus, virus, policie české republiky, interpol
| 