Databáze znalostí

Jak odstranit policejní vir?

Autor: Martin Buchta | Poslední aktualizace: 28.11.2014 15:20:18
Upozornění

Poznámka:
Nejnovější verze produktů ESET NOD32 Antivirus / ESET Smart Security 8 jsou vybaveny proaktivními technologiemi a minimalizují možnost infikování počítače tímto typem viru.

Pokud používáte starší verzi programu ESET, doporučujeme provést aktualizaci na nejnovější verzi.

 
Pokud se vám po spuštění počítače zobrazila obrazovka s upozorněním, že váš počítač byl uzamčen z důvodu přechovávání a distribuce dětské pornografie atp., nejedná se o skutečnou informaci od Policie ČR. V tomto případě jste byli infikováni policejním virem z rodiny Ransomware. Protože existuje velké množství mutací policejního viru, přinášíme vám několik postupů, pomocí kterých se infiltrace zbavíte.

» Obnovte systém do předchozího stavu

» Proveďte kontrolu pomocí ESET Online Scanner

» Použijte SysRescue a ručně odstraňte infiltraci

Upozornění

Upozornění:
Každý den vznikají desítky různých mutací policejního viru. Vizuál je sice stejný, ale zdrojový kód odlišný.

I - Obnovení systému do předchozího funkčního stavu

Nejjednodušší možností je navrátit počítač pomocí bodu obnovy do předchozího stavu do doby, kdy systém nebyl infikován.

číslo

Spusťte počítač v nouzovém režimu s příkazovým řádkem.

číslo

Pomocí příkazového řádku spusťte systémový nástroj Obnovení systému
Windows 7/8: zadejte příkaz rstrui.exe
Windows Vista: zadejte příkaz cd C:\Windows\System32\ a poté rstrui.exe
Windows XP: zadejte příkaz C:\Windows\system32\Restore\rstrui.exe

číslo

Postupujte podle pokynů na obrazovce a vyberte bod obnovy ze dne před tím, než došlo k infikaci systému.

Obnovení systému Windows

nahoru


II - ESET Online Scanner

V případě, že nemáte k dispozici žádný Bod obnovení z neinfikovaného stavu nebo máte tuto funkci vypnutou, proveďte kontrolu počítače v nouzovém režimu.

číslo

Spusťte počítač v nouzovém režimu se sítí.

číslo

Proveďte kontrolu počítače pomocí ESET Online Scanner.

ESET Online Scanner

nahoru


III - Ruční odstranění souborů a úprava registru

Pokud první dva kroky nezabraly a nedostanete se do nouzového režimu, připojte disk z napadaného počítače k jinému stroji nebo použijte ESET SysRescue, resp. jakékoli jiné linuxové Live CD. Následně z pevného disku ručně odstraňte infikované soubory a proveďte úpravu registru.

Upozornění

Upozornění:
Tento postup je určen pro zkušené uživatele. Nesprávnými kroky můžete nenávratně poškodit systém.

číslo

Ve Windows Vista/7/8 v umístění C:\Users\Uživatelský účet\AppData\Local\ najděte soubor s prapodivným názvem typu 645436414059299.exe, wgswgsdgsdsgsd.exe aj. a tento soubor odstraňte.

Zaváděcí soubor viru se obvykle nachází také v umístění:
C:\Users\Uživatelský_účet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.ink 
C:\Users\Uživatelský účet\AppData\Roaming\runctf.ink 
C:\Users\Uživatelský účet\AppData\Roaming\altShell.dat

Ve Windows XP se virus nachází obvykle v těchto cestách:
C:\Documents and Settings\Uživatelský účet
C:\Documents and Settings\Uživatelský účet\Nabídka Start\Programy\Po spuštění\runctf.ink
C:\WINDOWS\Prefetch
C:\Documents and Settings\uzivatel\Data aplikací\AltShell.dat

číslo

Odstraňte obsah dočasných složek (Temp).

Upozornění

Poznámka:
Kde se přesně spouštěcí soubor nachází, můžete zjistit v některých případech také v registru Windows.

číslo

Klikněte na Start > Spustit a zadejte příkaz regedit.

číslo

Stiskněte klávesy CTRL + F, zadejte řetězec command processor a klikněte na tlačítko Najít další.

číslo

Hledejte hodnotu Autorun, která odkazuje na cestu k nějakému souboru
– často C:\Users\Uživatelský účet\AppData\Local\Temp.

číslo

Uvedenou hodnotu vymažte z registru a odstraňte také soubor, na který odkazuje.
Stiskněte klávesu F3 a ujistěte se, že se již v registru nenachází žádná další hodnota.

Policejní vir - úprava registru

nahoru


Řešení dalších problémů

Pokud jste policejní vir úspěšně z počítače odstranili, ale při spuštění počítače se zobrazí pouze příkazový řádek (černé okno a blikající kurzor), postupujte podle následujících kroků.

číslo

Klikněte na Start > Spustit a zadejte příkaz regedit.

číslo

Přejděte na větev HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Obsah hodnotu Shell přepište z cmd.exe na explorer.exe, případně ji zcela odstraňte.

Policejní vir - úprava registru Shell

Upozornění

Poznámka:
Toto platí pouze v případě, že jste přihlášeni pod napadeným uživatelským účtem. Výchozí nezměněná hodnota Shell v HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon je explorer.exe.


Cesty a názvy viru se mohou lišit v závislosti na konkrétní mutaci. Policejní vir stejně jako další infekce často vznikají do systému bezpečnostními dírami neaktualizovaného operačnímu systému, zranitelnostmi v technologiích Java, Adobe Reader, Adobe Flash Player atp. Dbejte tedy prosím na prevenci a minimalizujte riziko použitím posledních verzí programů a jednotlivých doplňků. 

Upozornění

Poznámka:
Komerční banka již pro přihlášení do internetového bankovnictví nepotřebuje doplněk Java. Pokud nemáte jinou aplikaci, která by jej vyžadovala, doporučujeme zranitelný doplněk Java z počítače odinstalovat.


Štítky: policejní vir, ransomware, vir policie, vir zeman, vir česká policie, policejní virus, virus, policie české republiky, interpol

 

 

Hodnocení článku (19 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc