Vložením e-mailové adresy se přihlásíte k odběru novinek.

 
 Aktuální verze

Virová databáze: 14557 (20161205)

Produkty pro domácnosti: 10.0.369

Produkty pro firmy: 6.4.2014

 Kontrola počítače
ESET Online Scanner ESET Online Scanner je rychlý nástroj pro kontrolu počítače a odstranění nalezených hrozeb.
 Záchranné médium
ESET SysRescue Live ESET SysRescue Live je nástroj pro odstranění škodlivého kódu nezávisle na operačním systému.
Databáze znalostí

Jak odstranit policejní vir?

Autor: Martin Buchta | Poslední aktualizace: 28.11.2014 15:20:18
Upozornění

Poznámka:
Nejnovější verze produktů ESET NOD32 Antivirus / ESET Smart Security 8 jsou vybaveny proaktivními technologiemi a minimalizují možnost infikování počítače tímto typem viru.

Pokud používáte starší verzi programu ESET, doporučujeme provést aktualizaci na nejnovější verzi.

 
Pokud se vám po spuštění počítače zobrazila obrazovka s upozorněním, že váš počítač byl uzamčen z důvodu přechovávání a distribuce dětské pornografie atp., nejedná se o skutečnou informaci od Policie ČR. V tomto případě jste byli infikováni policejním virem z rodiny Ransomware. Protože existuje velké množství mutací policejního viru, přinášíme vám několik postupů, pomocí kterých se infiltrace zbavíte.

» Obnovte systém do předchozího stavu

» Proveďte kontrolu pomocí ESET Online Scanner

» Použijte SysRescue a ručně odstraňte infiltraci

Upozornění

Upozornění:
Každý den vznikají desítky různých mutací policejního viru. Vizuál je sice stejný, ale zdrojový kód odlišný.

I - Obnovení systému do předchozího funkčního stavu

Nejjednodušší možností je navrátit počítač pomocí bodu obnovy do předchozího stavu do doby, kdy systém nebyl infikován.

číslo

Spusťte počítač v nouzovém režimu s příkazovým řádkem.

číslo

Pomocí příkazového řádku spusťte systémový nástroj Obnovení systému
Windows 7/8: zadejte příkaz rstrui.exe
Windows Vista: zadejte příkaz cd C:\Windows\System32\ a poté rstrui.exe
Windows XP: zadejte příkaz C:\Windows\system32\Restore\rstrui.exe

číslo

Postupujte podle pokynů na obrazovce a vyberte bod obnovy ze dne před tím, než došlo k infikaci systému.

Obnovení systému Windows

nahoru


II - ESET Online Scanner

V případě, že nemáte k dispozici žádný Bod obnovení z neinfikovaného stavu nebo máte tuto funkci vypnutou, proveďte kontrolu počítače v nouzovém režimu.

číslo

Spusťte počítač v nouzovém režimu se sítí.

číslo

Proveďte kontrolu počítače pomocí ESET Online Scanner.

ESET Online Scanner

nahoru


III - Ruční odstranění souborů a úprava registru

Pokud první dva kroky nezabraly a nedostanete se do nouzového režimu, připojte disk z napadaného počítače k jinému stroji nebo použijte ESET SysRescue, resp. jakékoli jiné linuxové Live CD. Následně z pevného disku ručně odstraňte infikované soubory a proveďte úpravu registru.

Upozornění

Upozornění:
Tento postup je určen pro zkušené uživatele. Nesprávnými kroky můžete nenávratně poškodit systém.

číslo

Ve Windows Vista/7/8 v umístění C:\Users\Uživatelský účet\AppData\Local\ najděte soubor s prapodivným názvem typu 645436414059299.exe, wgswgsdgsdsgsd.exe aj. a tento soubor odstraňte.

Zaváděcí soubor viru se obvykle nachází také v umístění:
C:\Users\Uživatelský_účet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.ink 
C:\Users\Uživatelský účet\AppData\Roaming\runctf.ink 
C:\Users\Uživatelský účet\AppData\Roaming\altShell.dat

Ve Windows XP se virus nachází obvykle v těchto cestách:
C:\Documents and Settings\Uživatelský účet
C:\Documents and Settings\Uživatelský účet\Nabídka Start\Programy\Po spuštění\runctf.ink
C:\WINDOWS\Prefetch
C:\Documents and Settings\uzivatel\Data aplikací\AltShell.dat

číslo

Odstraňte obsah dočasných složek (Temp).

Upozornění

Poznámka:
Kde se přesně spouštěcí soubor nachází, můžete zjistit v některých případech také v registru Windows.

číslo

Klikněte na Start > Spustit a zadejte příkaz regedit.

číslo

Stiskněte klávesy CTRL + F, zadejte řetězec command processor a klikněte na tlačítko Najít další.

číslo

Hledejte hodnotu Autorun, která odkazuje na cestu k nějakému souboru
– často C:\Users\Uživatelský účet\AppData\Local\Temp.

číslo

Uvedenou hodnotu vymažte z registru a odstraňte také soubor, na který odkazuje.
Stiskněte klávesu F3 a ujistěte se, že se již v registru nenachází žádná další hodnota.

Policejní vir - úprava registru

nahoru


Řešení dalších problémů

Pokud jste policejní vir úspěšně z počítače odstranili, ale při spuštění počítače se zobrazí pouze příkazový řádek (černé okno a blikající kurzor), postupujte podle následujících kroků.

číslo

Klikněte na Start > Spustit a zadejte příkaz regedit.

číslo

Přejděte na větev HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
Obsah hodnotu Shell přepište z cmd.exe na explorer.exe, případně ji zcela odstraňte.

Policejní vir - úprava registru Shell

Upozornění

Poznámka:
Toto platí pouze v případě, že jste přihlášeni pod napadeným uživatelským účtem. Výchozí nezměněná hodnota Shell v HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon je explorer.exe.


Cesty a názvy viru se mohou lišit v závislosti na konkrétní mutaci. Policejní vir stejně jako další infekce často vznikají do systému bezpečnostními dírami neaktualizovaného operačnímu systému, zranitelnostmi v technologiích Java, Adobe Reader, Adobe Flash Player atp. Dbejte tedy prosím na prevenci a minimalizujte riziko použitím posledních verzí programů a jednotlivých doplňků. 

Upozornění

Poznámka:
Komerční banka již pro přihlášení do internetového bankovnictví nepotřebuje doplněk Java. Pokud nemáte jinou aplikaci, která by jej vyžadovala, doporučujeme zranitelný doplněk Java z počítače odinstalovat.


Štítky: policejní vir, ransomware, vir policie, vir zeman, vir česká policie, policejní virus, virus, policie české republiky, interpol

 

 

(17 hlasující(ch))
Tento článek se hodil
Tento článek není nic moc

Komentáře (2)

Přemysl Hradec
10.06.2014 16:31:01
Jako tak jsem se nepobavil dlouho :) Již v době publikování článku 9/2013 "řešení" 1 a 2 nefungovalo a 3 je velice zavádějící, neboť je takových možných i nemožných variant umístění odkazů, že zveřejněním jedné možné varianty z tisíců různých je naprosto nanic....
Pokud neberu dnešní nejnovější mutace viru policie české republiky co existují pouze jako webová stránka (ale i tak lidi platěj :) tak odstranení pravého vira policie české republiky spočívá v nabootování přes odpovídající Windows-LIVE cd a spuštění Roguekillera.
Tak přeji hodně štěstí v boji s tímto prevítem.
Tom
02.10.2014 17:25:18
Mně na konci 2013 pomohl emergenci kit + Norton Power Eraser každých asi 15min se ukázala stránka s tím prezidentem a po restartu zase zmizela. Odstraňoval jsem ho podle nějakého návodu v komentářích o tady tom viru.eset jsem nezkoušel ale stahoval jsem přímo určené nástroje proti tomu policejnímu viru a žádný mi nepomohl.
Vložit nový komentář

(Upozornění: Komentáře neslouží k řešení požadavků na technickou podporu. Pro kontaktování technické podpory klikněte sem.)

 
Celé jméno:
E-mail:
Komentář:
CAPTCHA ověření 
 
Zadejte text, který je zobrazen na obrázku níže (je to ochrana před roboty). Pokud jste nevidomý uživatel, kontaktujte nás.
captcha

Enjoy Safer Technology
© 1992 - 2016 ESET software spol. s r. o. - Všechna práva vyhrazena.