Acasa | Înregistrare | Autentificare | RSSSâmbătă, 2017-09-23, 5:05 AM

NR1-PC TUTORIALE

Meniu site
Formularul pentru autentificare
Acasa » 2014 » Februarie » 21 » Virusul Politia Romana – Metode de eliminare
5:07 PM
Virusul Politia Romana – Metode de eliminare

Nu mai rulasem de mult un virus asa ca am intrat azi pe un site ce contine linkuri cu virusi noi si am descarcat un executabil a carui descriere era Trojan.Ransom. Am vrut sa-l analizez folosind metoda de aici in interiorul unei masini virtuale. Insa virusul a refuzat sa ruleze in Sandboxie, dand un mesaj de eroare, asa ca a trebuit sa-l rulez simplu in masina virtuala. Timp de cateva momente nu s-a intamplat nimic, dar deodata intreg ecranul a devenit alb si mai apoi mi-a aparut frumoasa pagina de mai jos:

Virus Politia Romana

Pe acea pagina apar o gramada de acuzatii false care mai de care mai diverse si folosesc imaginea mai multor institutii romane (presedinte si servicii din cadrul ministerului de afaceri interne) pentru a parea credibili.

Scopul autorilor acestui virus este de a pacali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar, tipic aplicatiilor ransomware.

Din pacate, virusul este foarte agresiv: in afara de acea pagina full-screen victima nu poate accesa nimic. Se pare ca lucrurile nu stau chiar asa, la o simpla cautare pe internet am aflat ca in acest timp au mai fost lansate cateva versiuni. Mai mult, peBleepingComputer.com a aparut acum doua zile un articol despre un virus care seamana izbitor cu cel prezentat aici. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.

Detectia pe VirusTotal: 7/47 antivirusi detecteaza acest malware – destul de slab.

Virusul nu permite rularea altor programe, nici macar folosirea unor scurtaturi de taste pentru a lansa aplicatii ale Windowsului. Mai mult, daca pornim Windows in Safe-Mode sau in Safe-Mode with Networking, inainte de a aparea Desktopul sistemul se restarteaza automat.

Totusi un sistem infectat cu acest virus poate porni in Safe Mode with Command Prompt si acest lucru poate fi folosit pentru a repara problema.

Solutii pentru a scapa de acest virus

1.  Disc sau USB bootabil:

a. Folositi  HitmanPro.Kickstart USB – Este un utilitar care se instaleaza pe un stick USB si de pe care puteti boota calculatorul infectat, fara a mai intra in Windows. De acolo veti putea sterge cu usurinta virusul.

b. O alta solutie eficienta la acelasi capitol o reprezinta Kaspersky Rescue Disk. Creati un disc bootabil si scanati de pe el. Va sterge cu siguranta infectia.

2. Trojan.Ransom.IcePol Removal de la BitDefender - http://www.bitdefender.com/VIRUS-1000659-en–Trojan-Ransom-IcePol.html

2. Safe Mode with Command Prompt + Malwarebytes Anti-Malware

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Faceti rost de la alt computer de kitul de instalare Malwarebytes Anti-Malware, instalati-l si eliminati tot ce gaseste. La final puteti restarta computerul si acesta va porni ca nou.

virus politia romana

 

3. Safe Mode with Command Prompt + stergerea manuala a virusului

Cand porniti computerul, apasati F8 incontinuu pana va apar cele 3 optiuni de Safe Mode, alegeti-o pe cea cu Command Prompt si enter.

Dupa ce se incarca sistemul va aparea o fereastra de Command Prompt in care introduceti comanda explorer, apasati Enter si click Yes.

Va aparea Desktopul si puteti folosi sistemul aproape la fel ca inainte de a fi infectat.

Star Menu > Run > %appdata%

Stergeti fisierul cache.dat. Gata!

cache.dat este o copie a virusului care a patruns in sistem si este perfect executabil daca ii modificati extensia in .exe.

Registrul modificat este urmatorul:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"shell”=”explorer.exe, C:\\Documents and Settings\\Administrator\\Application Data\\cache.dat

In asa fel se injecteaza acel fisier in procesul explorer.exe al Windows de fiecare data cand porniti computerul.

Categorie: Devirusare | Vizualizări: 188 | Adăugat de: djmario | Tag-uri: Politia Romana, Virusul, Metode de eliminare | Rating: 5.0/1
Total comentarii : 0
Prenume *:
Email *:
Cod *:
διαφημιση
Căutare
.

Copyright nr1-pc.ucoz.com © 2017
Creaţi un website gratuit prin uCoz