Hardware y software

Virus Policia Nacional (ni modo prueba fallos)

Li0nheart
Li0nheart #1 Ago '12

Ayer me salto el famoso virus de la policia nacional, justo cuando hace 3 dias actualice el avg free y el superantispyware de microsoft.
Tengo windows 7 ultimate

Bien, intente acceder a mmodo prueba de fallos para eliminarlo e igual no me deja manejar mi propio pc.
Me he bajado un programa que hasta las versiones de marzo 2012 de este virus las elimianaba arrancando el ordenador desde el cd y tras pasar el escaner de virus y eliminar 3 amenazas, no me ha surtido efecto y todavia estoy sin poder manejar el ordenador.

Si alguien hace poco ha podido eliminarlo, que me diga como lo hizo.

Un saludo y gracias :)

SOLUCION:

SOLUCIONADO

me he bajado la versión del día 30 de Agosto de 2012 de Avira
He arrancado desde el cd rom y le he dado a que escanee el pc.

He reiniciado y ha funcionado ya sin saltarme nada.

BODYBUILDING
BODYBUILDING #2 Ago '12

Yo leí hace tiempo que si tienes otro usuario cambiabas de sesión y con el administrador de tareas eliminas el proceso del virus y se solucionaba...

2 respuestas
RubenLionel
RubenLionel #3 Ago '12

La manera que ha dicho #2 es la mejor, entras con otro usuario, y desde panel de control borras los programas que creas que pueden ser el virus.

Al menos yo lo hice así y eliminé el virus.

1 respuesta
Porrete
Porrete #4 Ago '12

En modo seguro con funciones de red, pasar ccleaner, malewarebites, ccleaner, nod adntivirus online, panda online, y despues de todo combofix.

Si después de todo esto sigues igual, lo mejor arrancar un livecd copia datos y formatear.

También podrías detectar que variante exactamente tienes, buscar información y borrar las partes del registro que modifica o crea el virus y los archivos físicos.

1
Li0nheart
Li0nheart #5 Ago '12

#2 y #3 no tengo otro usuario xD

como lo creo?

BODYBUILDING
BODYBUILDING #6 Ago '12

Ah y no te olvides de hacer lo siguientes: inicio -> ejecutar -> msconfig -> inicio
y miras los "programas" que se ejecutan al iniciar sesión, seguramente el virus este ahí y si quieres eliminarlo mira su ubicación y lo eliminas.

chusty
chusty #7 Ago '12

Reinicia le das a f8 para entrar en modo seguro y alguna opcion de todas las que hay tiene que dejarte entrar a borrarlo.

1 respuesta
#8
comentario moderado
1 comentario moderado
Li0nheart
Li0nheart #9 Ago '12

#7

En modo a pueba de fallos, no me deja tocar nada del pcç

MikeTyson
MikeTyson #10 Ago '12

https://www.osi.es/es/actualidad/avisos/2012/01/virus-muestra-un-falso-mensaje-del-cuerpo-nacional-de-policia

#11 ¿Y nada?

http://www.givemesolutions.net/entradas/eliminar-nueva-variante-virus-policia-nacional

1 respuesta
Li0nheart
Li0nheart #11 Ago '12

#10 eso lo he hecho ya y es desde marzo 2012

2 respuestas
p4l0m0
p4l0m0 #12 Ago '12

a unos amigos le funcionó restaurando el sistema a cualkier dia ke no tubieras el virus.

1 respuesta
Lone
Lone #13 Ago '12

#11 La version del virus que salta en modo a prueba de fallos en el más cabrón de todos. Lo que te están diciendo de entrar con otro usuario no te va a servir, porque te va a seguir saltando igual.

Yo lo que hice para quitarlo fue coger el disco duro, conectarlo a otro equipo como secundario y arrancar con el SO del disco que no tiene el virus.
En ese HD que no tienes el virus, instalas el MalwareBytes y haces un escaneo completo del disco que si que está infectado.

Y con esto está solucionado.

Otra cosa es que tengas otro equipo para hacerlo.

Otra solución, pero que es más complicada si no estás un poco familiarizado con esto, es particionar tu disco duro con una herramienta que esté en un CD live. En la partición nueva instalas un sistema operativo nuevo, instalas el MalwareBytes ahí y haces un escaneo completo de la partición que está infectada.

radykal
radykal #14 Ago '12

Arranca un Boot CD que tenga utilidad de acceso al registro de Windows (Bart PE)como el Mini NT de Hirens Boot CD, el UBCD4WIN o similares. Cargas los árboles de registro del Windows infectado y buscas la entrada que te está jodiendo, que seguramente estará suplantando la Shell o el userinit.

Para saber qué fichero es puedes identificarlo buscando dentro de la carpeta de tu usuario\Appdata\local\temp , ordenas por fecha y verás que en la fecha donde te diste cuenta de la infección habrá un ejecutable junto a una clase de java creadas a la misma fecha/hora.

Toma nota del nombre del ejecutable y bórralo, borra el fichero de la clase de Java y todos los que haya con misma fecha/hora.

Ahora puedes cargar el registro SOFTWARE y buscar dentro de él por el nombre del ejecutable que has anotado y reemplazarlo por su valor correcto. Si no sabes qué valor es el original de Windows, algunos ejemplos son:

Shell -> explorer.exe
userinit -> C:\WINDOWS\system32\userinit.exe,

Si fuese otro deberias mirar el que corresponda en una máquina sana.

Cuando lo tengas, reinicias normalmente y lo primero que deberias hacer es desinstalar todas las versiones de Java que tengas y descargar e instalar la última que haya en la Web de Java.

actionchip
actionchip #15 Ago '12

#12 Premio. Yo lo tube y asi consegui quitarme de encima a ese hijo de puta.

miLo_
miLo_ #16 Ago '12

#1 lo que yo hice en ese caso fue bajarme este livecd, una pasada y lo elimino todo

http://www.freedrweb.com/livecd/

se puede bootear desde un usb tambien

Li0nheart
Li0nheart #17 Ago '12

SOLUCIONADO

me he bajado la versión del día 30 de Agosto de 2012 de Avira
He arrancado desde el cd rom y le he dado a que escanee el pc.

He reiniciado y ha funcionado ya sin saltarme nada.

ArcheR
ArcheR #18 Ago '12

Este virus es una puta plaga, macho. En el servicio técnico nos vienen equipos con ese problema constantemente, y varios colegas también lo han tenido.

Yo por ahora me libro xD

A
Albertcases #19 Sep '12

vaya puta mierda, me acaba de entrar.... sabeis el nombre del servicio del virus? Y estoy escaneando con el antivirus, me podeis decir algun programa para quitar la mierda esta?

DevonxD
DevonxD #20 Sep '12

yo lo quite con el polifix

1 respuesta
A
Albertcases #21 Sep '12

#20 http://www.infospyware.com/antimalware/polifix/ este o alguno mas reciente?

1 respuesta
DevonxD
DevonxD #22 Sep '12

#21 ese que has puesto es bastante reciente, de hace 3 dias, pruebalo

1 respuesta
A
Albertcases #23 Sep '12

#22 gracias, funciona :) Igualmente voy a pasar el antivirus y demas porque no me fio ni un pelo.

DevonxD
DevonxD #24 Sep '12

con eso en teoria esta solucionado xD

A
Albertcases #25 Sep '12

dicen que es problema de Java, asi que hay que actualizarlo a la ultima version segura.

1 respuesta
BODYBUILDING
BODYBUILDING #26 Sep '12

#25 Exacto, estos tipos de virus se aprovechan de una vulnerabilidad de JAVA, actualizándolo se supone que no te infectarías de nuevo.

ZelD4
ZelD4 #27 Sep '12

A mi me entró ayer el virus y eso que tengo avira premium, la primera vez que se me cuela un virus con este av, y me hace gracia porque una de las "opciones" para solucionar este problema es un boteable de avira :\

Ayer probé a entrar en prueba de fallos + Rkill + Malwarebytes, me borró 2 archivos infectados que estaban en temp pero nada, el virus sigue estando.

Probé a utilizar el boteable de Avira desde un CD, al lanzarlo da un error y me peina.

Hoy seguire probando algunas opciones más, como polifix, aunque creo que no te lo quita del todo, es un virus muy hijo de puta, por no decir de los más cabrones y actualizados a dia de hoy

1 respuesta
miLo_
miLo_ #28 Sep '12

#27 utiliza otros booteables, el de nod, el de drweb, etc...

#29 yo probe los dos, y el drweb fue el que lo quito, pero como hay varias versiones, a cada cual mas puta del virus, hay veces que funciona una cosa y hay veces que funciona otra

1 respuesta
ZelD4
ZelD4 #29 Sep '12

#28 probaré el que has puesto más arriba del livecd, es el que más me recomiendas?

Gracias!

#28 ok, probaré los 2, muchas gracias por la info.

De todas formas nose porque me ha entrado el virus con avira premium, se supone que es el mejor av que hay hoy en dia

#30

También lo probare, muchas gracias

1 respuesta
Baptiste
Baptiste #30 Sep '12

Hace poco mi vi las caras con el... no arranques en modo seguro, sino en "modo seguro con simbolos del sistema"

1 - Descarga "POLIFIX" y copialo a un pendrive http://www.infospyware.com/antimalware/polifix/

2 - Arranca en "modo seguro con simbolos del sistema", una vez en marcha, pon el pendrive.

3 - Accede a él a traves de consola y lanza el "polifix"

4 - Reboot

Creo que hay varias variantes de este virus, el que yo quite se comportaba dejando la pantalla en blanco cuando arrancabas en "modo seguro" a secas. Con simbolos del sistema me dejaba lanzar procesos como explorer o cmd.

Pasa despues Malwarebytes para limpieza general.

1 respuesta

Usuarios habituales

  • ZelD4
  • miLo_
  • BODYBUILDING
  • Albertcases
  • DevonxD
  • Li0nheart
  • radykal

Tags