MAS DEL VIRUS DE LA POLICIA

[nacamar]

Hola amigos de Zonavirus!!



Hace apenas un mes estuve por aquí con un problema y mirad que rápido he tenido que volver a pediros ayda :( :( :(



Para resumir; Estoy afectado de golpe y porrazo por el virus de la policia nacional que me piden 100 € para el desbloqueo del ordenador etc..... Para evitar molestaros, he estado leyendo el montón de info que tenéis al respecto y ante la imposibilidad de arrancar en modo seguro ó modo seguro con funciones de red, se me ocurrió colocar el código que tenéis colgado.



El primero no me sirvió; pero el segundo 6337181511212098234 si que lo ha aceptado y ahora he pasado a tener otra pantalla, en la que se me avisa de que sigo bloqueado y que tengo que esperar de 1 a 4 horas para el desbloqueo pudiendo extenderse hasta 24 horas ..... ante la duda de no saber que hacer; si esperar ó acudir en vuestra ayuda, he decidido lo segundo, no vaya a ser que la espera sea peor!!



Que hago?? (os escribo desde el ordenador de un vecino, al no poder usar el mio). Estoy asustado con éste tema, la verdad! Le temo más a un virus que a un Miura jejeje.



Aconsejadme por favor!!! Gracias!!

[msc hotline sat]

Pues esperemos que si ha encajado el segundo código, desbloqueen el ordenador, sino crea un fichero pinok.txt , no importa su contenido, como indicamos en :



" crear el fichero PINOK.TXT en DATOS DE PROGRAMA del usuario - (o APPDATA, segun sistema) con lo cual en algunas versiones se cree que ya se ha pagado el rescate, y se desinstala el malware (lo cual puede hacerse arrancando con otro medio)"



Y en cualquier caso, informanos de tus progresos al respecto, y no te preocupes que encontraremos una solucion, incluso si te codificara los ficheros añadiendo "locked" a los ficheros, para lo que hemos hecho la utilidad SDECODER.EXE, lo cual puede que no sea tu caso, pero por si lo fuera mira lo que acabo de decir en https://foros.zonavirus.com/viewtopic.php?f=5&t=40712







Bueno, ya nos contarás...

saludos



ms, 19-5-2012

[nacamar]

Buenos dias!!



He vuelto a mi ordenador (no lo tenía en casa y no he podido verlo hasta ahora) y resulta que está en las mismas condiciones que lo dejé hace casi 48 horas despues; en la pantalla de "Se está verificando el codigo introducido y tiene que esperar 1-4 horas para su desbloqueo llegando a extenderse hasta las 24 horas"......



Tal y como enciendo, me encuentro ésto ¿Qué he de hacer ante ésta situación? Habiendo transcurrido el doble del tiempo máximo que indicaban, me huelo que no se vá a desbloquear así por las buenas.



No sé que hacer!!!

[nacamar]

NOVEDADES AL RESPECTO!!



Hace un rato que sobre la pantalla "de espera" de confirmación del código que puse, ha aparecido un nuevo mensaje pequeño en el centro que dice: "El código introducido no es correcto, le quedan 3 intentos".



..... a ver que me decís como puedo actuar (sé que ni debo, ni puedo meteros prisa.... pero estoy fuera de servicio sin el ordenador y tengo mil cosas que hacer..... disculpad mi nerviosismo!!).



Quedo a la espera de vuestras noticias. Gracias!!

[nacamar]

Para que tengais una idea de qué es lo que visualizo en mi pantalla, os dejo un enlace (creo que es vuestro, lo he encontrado en la web tecleando en busca de info al respecto).



Ésto es exactamente lo que tengo en mi ordenador:



http://www.satinfo.es/blog/?p=28066



Pero no entiendo con total claridad el "modus operandi" que detalla para erradicarlo del pc.



Espero que sirva de ayuda para identificar la variante, porque según he leído hay muchas.



Gracias de nuevo, sigo a la espera!! ;)

[msc hotline sat]

sSi puedes arrancar en MODO SEGURO, hazlo y lanza el ELISTARA, y si no puyedes, mira esto:



http://www.zonavirus.com/noticias/2012/varias-soluciones-al-virus-de-la-policia-en-los-casos-que-no-permite-arrancar-en-modo-seguro.asp



saludos



ms, 21-5-2012

[nacamar]

Hola!



No; no puedo arrancar en modo seguro (me sale directamente la pantalla de bloqueo); así que me he ido a leer el enlace que me ha facilitado y según lo que leo creo que el hecho de que tenga el ordenador en red con otro par de pc's ¿Puede ayudar ó facilitar el arreglo?.... no se me había ocurrido hasta ahora que he leido lo de "intentar solucionarlo arrancando desde otra máquina como disco esclavo etc ..." (no es que sepa yo mucho de ésto, pero se me ha venido a la cabeza que la particularidad de estar en red pudiera ser de ayuda).... en caso de que así fuera...



¿Como debo de proceder? ¿En qué partición se "instala" éste virus? ¿Podríamos acceder a través de la red para eliminarlo/repararlo?



Cruzo los dedos!!! Gracias!!!

[msc hotline sat]

Si no puedes arrancar el ordenador, no podrás acceder a él desde otra máquina en red, ya que este no está aun en ella.



Mas bien puedes analizar el disco duro afectado, colocandolo como esclavo en otro ordenador que arranque, o bien arrancando con un LIVECD, como "Pilitos" o "BARTPE", el cual puedes descargar de internet.



Tras ello sigue lo indicado en



http://www.zonavirus.com/noticias/2012/varias-soluciones-al-virus-de-la-policia-en-los-casos-que-no-permite-arrancar-en-modo-seguro.asp



saludos



ms, 22-5-2012

[nacamar]

[quote="msc hotline sat"]Si no puedes arrancar el ordenador, no podrás acceder a él desde otra máquina en red, ya que este no está aun en ella.



Mas bien puedes analizar el disco duro afectado, colocandolo como esclavo en otro ordenador que arranque, o bien arrancando con un LIVECD, como "Pilitos" o "BARTPE", el cual puedes descargar de internet.



Tras ello sigue lo indicado en



http://www.zonavirus.com/noticias/2012/varias-soluciones-al-virus-de-la-policia-en-los-casos-que-no-permite-arrancar-en-modo-seguro.asp



saludos



ms, 22-5-2012[/quote]



Hola, buenos dias!!



Me parece que no me he explicado correctamente; yo SI puedo arrancar y veo desde otro pc en la red las unidades del equipo infectado y puedo acceder a ellas!!



¿Es factible "arreglar/limpiar " desde otro pc en la red?

[msc hotline sat]

Si no lanza las utilidades de deteccion/eliminacion desde el mismo ordenador, no accederá al registro de sistema del mismo y la operacion puede ser incompleta.



Claro que puede lanzar la exploracion, y si detecta algun fichero malicioso lo eliminará, pero no dispondrá de la exploracion heuristica ni de la correccion de claves maliciosas en el registro.



Es conveniente arrancar en MODO SEGURO, como administrador, y lanzar el ELISTARA, y mas con este de "la policia" del que hay tantas variantes conocidas y tambien desconocidas, ya que aparecen nuevas a diario, como ahora las que aparentan venir de la SGAE, y otras que codifican ficheros dejandolos inoperativos, para lo que ya hemos hemos el SDECODER...



saludos



ms, 22-5-2012

[nacamar]

Yéndome al enlace que me facilitó, he procedido a la restauración del registro de sistema de Windows usando un LiveCD. Despues de seguir todos los pasos indicados, el bloqueo vuelve a aparecer en pantalla en cuanto se arranca el pc (consigo ver el escritorio un segundo y seguidamente salta el bloqueo).



¿¿Como debo proceder??



Espero no darle demasiado la lata; pero ésto es pura desesperación (es un ordenador con temas de trabajo y necesito acceder a tantas cosas!!! ....)



Quedo a la espera. Mil gracias ;)

[msc hotline sat]

Posiblemente tenga algun enlace en el disco duro que accede a una web infectada, desde donde se baja otra vez la dichosa pantalla de bloqueo.



Desconecte el acceso a internet, bien sea por cable o por wifi, y proceda de nuevo arrancando con un LIVECD, y tras restaurar registro, lance el ELISTARA, no sea que sea una variante ya conocida y detectemos el causante.



saludos



ms, 22-5-2012

[nacamar]

Voy a intentarlo entonces desconectando internet y una vez lo haya hecho, posteo el resultado.



Gracias por la ayuda!! ;)

[nacamar]

A todo ésto .... cuando dice "crear carpeta temporal en Windows" se refiere a crear nueva carpeta simplemente y nombrarla Prtemp????? ó existe alguna otra forma/proceso el crear una carpeta temporal???



Lo siento, no estoy demasiado puesto en el tema y cualquier resquicio de duda, prefiero preguntarlo para evitar hacer las cosas mal.



Gracias de nuevo!!

[msc hotline sat]

Ni recuerdo haber indicado lo que mencionas ???



Haz un copiar y pegar del texto donde lo indicamos, para ver el entorno, gracias



saludos



ms, 22-5-2012

[nacamar]

[quote="msc hotline sat"]Ni recuerdo haber indicado lo que mencionas ???



Haz un copiar y pegar del texto donde lo indicamos, para ver el entorno, gracias



saludos



ms, 22-5-2012[/quote]



Ay Dios!!! no me asuste!!!. He hecho lo que aparece en éste enlace http://www.zonavirus.com/noticias/2012/varias-soluciones-al-virus-de-la-policia-en-los-casos-que-no-permite-arrancar-en-modo-seguro.asp



Ahí, en la mitad más o menos y haciendo caso a lo que me comentó he hecho de nuevo (desconectado de internet ésta vez), la restauración del registro de sistema tal y como indican aqui http://www.satinfo.es/noticies/?p=400



En esas instrucciones es dónde aparece lo de la carpeta temporal Prtemp. Lo cierto es que la he llevado a cabo y ahora ha desparecido el bloqueo y consigo ver mi escritorio de dónde han desaparecido casi todos los iconos, al pasar Elistara me ha comunicado que no existe el SP3 de Windows, Dice que no tengo Windows activado... Además, no me reconoce el teclado, ni los archivos pdf, se han modifcado colocando locked a archivos multimedia (creo recordar que ésto era algo que controlábais) etc.... Los primeros informes (que creo que son de fechas atrás, no de hoy); me aparecían con un nombre de usuario... el realizado hoy me ha dado un nuevo nombre (el del ordenador) seguido de varios ceros (He eliminado ésa info además de la ID)



Tengo gran susto en el cuerpo con todo ésto!!!!. De todos modos, no he vuelto a conectar el cable de internet al pc, por si acaso!!!



Aquí le dejo el log que Elistara ha dejado. Quedo a la espera de sus noticias!! GRacias gracias



(27-4-2012 11:31:01 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Detectada Carpeta Posible Sirefef: "C:\WINDOWS\$NtUninstallKB37614$"

Key Eliminada [WinLogon\Notify\LBTWLGN] -> C:\WINDOWS\SYSTEM32\C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\BLUETOOTH\LBTWLGN.DLL

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2012 15:20:06 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta: C:\WINDOWS\$NtUninstallKB37614$



(27-4-2012 15:20:30 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 532

Nº Total de Ficheros: 9775

Nº de Ficheros Analizados: 97

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(27-4-2012 15:28:16 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14217

Nº Total de Ficheros: 173276

Nº de Ficheros Analizados: 11003

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-4-2012 11:21:57 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):



(30-4-2012 11:35:22 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Jose Ignacio\Configuración local\Temp\NeroDemo12072\TOOLBAR.EXE --> Eliminado, ASKToolbar(dr)



Nº Total de Directorios: 14221

Nº Total de Ficheros: 177637

Nº de Ficheros Analizados: 23697

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(30-4-2012 11:46:49 (GMT))

EliSirefef v1.92 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

----------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14221

Nº Total de Ficheros: 177835

Nº de Ficheros Analizados: 11009

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-4-2012 15:06:09 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):



(30-4-2012 15:20:28 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14221

Nº Total de Ficheros: 177903

Nº de Ficheros Analizados: 23704

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(2-5-2012 07:50:05 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(2-5-2012 08:05:09 (GMT))

EliStartPage v25.37 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 26 de Abril del 2012)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14222

Nº Total de Ficheros: 178028

Nº de Ficheros Analizados: 23552

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(22-5-2012 18:01:28 (GMT))

EliStartPage v25.52 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2012)

--------------------------------------------------



Lista de Acciones (por Acción Directa):

C:\Windows\System32\Winsh320 --> Eliminado (Fichero Complementario).

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(22-5-2012 18:14:49 (GMT))

EliStartPage v25.52 (c)2012 S.G.H. / Satinfo S.L. (Actualizado el 21 de Mayo del 2012)

--------------------------------------------------





Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\nod32\nod32\NOD32.FIX.V2.1-NSANE.EXE --> Eliminado, Crack.NOD32Fix

C:\System Volume Information\_restore{AB5C7A32-7C5F-4C69-8DB4-35D972DBA283}\RP956\A0088778.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 14846

Nº Total de Ficheros: 181433

Nº de Ficheros Analizados: 26753

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[msc hotline sat]

Si tras reiniciar persistiera el problema del teclado y demás, lance una REPARACION DE SISTEMA, arrancando con el cd de instalacion de windows Y PROCEDIENDO COMO SI FUERA A INSTALAR, Y AL DETECTAR LA PARTICION INSTALADA, ESCOGER DICHA OPCION DE REPARAR.





Y luego es muy importante instalar los parches que le faltan:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



para ello lance un windowsupdate e instale los que detecte que faltan:



http://www.update.microsoft.com



saludos



ms, 22-5-2012

[nacamar]

Cuando arranco desde el cd de instalación de windows llego a un apartado dónde tengo opciones: me pide que elija una opción de 3 posibles (1º Instalar windows xp, 2ºRecuperar a través de la consola de recuperación y 3ºsalir).



¿Cual de las 3 opciones he de elegir?



Pienso que lo que me dices en el anterior post sería continuar con la instalación de windows xp, es correcto??.



Como ves, soy un mar de dudas y lo peor, es que tengo cosas urgentes que realizar en el pc!!! uffff



Mil gracias nuevamente

[msc hotline sat]

Sobre la primera pregunta:



[i]Cuando arranco desde el cd de instalación de windows llego a un apartado dónde tengo opciones: me pide que elija una opción de 3 posibles (1º Instalar windows xp, 2ºRecuperar a través de la consola de recuperación y 3ºsalir). [/i]



Ya se indicó que se debe escoger instalar windows : [i]PROCEDIENDO COMO SI FUERA A INSTALAR[/i]



y al final ofrecerá reinstalar o REPARAR, escoge REPARAR !!!



Y luego lanza un windowsupdate para actualizar los parches.



saludos



ms, 23-5-2012

[nacamar]

[quote="msc hotline sat"]Sobre la primera pregunta:



[i]Cuando arranco desde el cd de instalación de windows llego a un apartado dónde tengo opciones: me pide que elija una opción de 3 posibles (1º Instalar windows xp, 2ºRecuperar a través de la consola de recuperación y 3ºsalir). [/i]



Ya se indicó que se debe escoger instalar windows : [i]PROCEDIENDO COMO SI FUERA A INSTALAR[/i]



y al final ofrecerá reinstalar o REPARAR, escoge REPARAR !!!



Y luego lanza un windowsupdate para actualizar los parches.



saludos



ms, 23-5-2012[/quote]



OK!, he llevado a cabo las indicaciones que hizo y parece que todo empieza a "volver a la normalidad". He detectado que hay carpetas que han bailado de sitio y otros "males menores", que en principio parece que no me vayan a fastidiar.



Tengo, eso sí, la palabra "locked" delante de archivos de audio (creo que solo de audio y no en todos)



¿Como se corregiría ésto? ¿Es aconsejable lanzar de nuevo Elistara u alguna otra herramienta?



Por el momento estoy volviendo a pasar Malware-bytes....



A ver que me decís!! Mil gracias ;)

[msc hotline sat]

Los ficheros con el prefijo LOCKED han sido codificados pòr el virus y deben ser decodificados, para lo cual diponemos del SDECODER.EXE





[b]SDECODER[/b]

http://www.zonavirus.com/descargas/sdecoder.asp





Entra un fichero cifrado y el mismo original, y nuestra utilidad hará el resto



saludos



ms, 24-5-2012

[nacamar]

[quote="msc hotline sat"]Entra un fichero cifrado y el mismo original, y nuestra utilidad hará el resto


[/quote]

Buenos dias!



Disculpe mi ignorancia pero, no entiendo a que se refiere con que entre el fichero original además del cifrado..... Mis ficheros han sido renombrados con locked pero, no existen los mismos originales, sólo el archivo "lockeado".



A todo ésto, no sólo son archivos de audio, video... los hay bloqueados de todo tipo, algunos son archivos de programas...



Parece que todo va volviendo poco a poco a la normalidad... a ver si lo conseguimos!!!



Mil gracias de nuevo ;)

[msc hotline sat]

Sí, claro, los locked son los cifrados, y uno de ellos del que tenga copia original (quizas uno de sistema, en otro ordenador, pero que sea como era el original, claro, o una imagen que tenga guardada en otro sitio, etc)



Asi la utilidad calcula el algoritmo de codificacion y procede a decodificar con él todos los "locked"



saludos



ms, 25-5-2012)

[nacamar]

[quote="msc hotline sat"]Sí, claro, los locked son los cifrados, y uno de ellos del que tenga copia original (quizas uno de sistema, en otro ordenador, pero que sea como era el original, claro, o una imagen que tenga guardada en otro sitio, etc)



Asi la utilidad calcula el algoritmo de codificacion y procede a decodificar con él todos los "locked"



saludos



ms, 25-5-2012)[/quote]

Ok, ahora lo he entendido correctamente; creo que no interpretaba del todo bien lo que me decía.



La pregunta ahora es ¿Los archivos locked que quedan tras ser arreglados, los elimino sin más? (SDECODER está en funcionamiento ahora mismo y no ha terminado aún, pero compruebo que al crear el nuevo archivo descodificado sigue quedando el bloqueado, por lo que doy por hecho que seguirán ahí cuando el SDECODER acabe, verdad??)





EDITO: Ya he leido por aquí que se deben eliminar manualmente una vez se compruebe que funciona el archivo descodificado que se ha creado y se compruebe que funciona..... pues, mi gozo en un pozo. En principio, archivos de audio que dan error y de imagen que no se ven porque da error al intentar abrirlos.....



Que hago??. Aun no descodifiqué una parte de archivos importantes (he empezado por probar con lo más fácilmente recuperable en caso de pérdida)....

[msc hotline sat]

Justamente por esto no borramos los locked, mira los que funcionan y borra los locked correspondiente a ellos, luego busca otro algoritmo para la otra infeccion, pues seguro que tuviste al menos dos, y con los dos nuevos ficheros de la sehunda infeccion, codificado y original, y UNA VEZ BORRADOS LOS FICHEROS LOCKED DE LOS QUE YA FUNCIONAN, vuelve a lanzar el SDECODER.



Es muy importante borrar los locked de los que ya se han recuperado, pues sino, los echarían a perder al sobreescribirlos con el algoritmo de la segunda infeccion, y se perdería el trabajo realizado.



saludos



ms, 25-5-2012

[nacamar]

[quote="msc hotline sat"]Justamente por esto no borramos los locked, mira los que funcionan y borra los locked correspondiente a ellos, luego busca otro algoritmo para la otra infeccion, pues seguro que tuviste al menos dos, y con los dos nuevos ficheros de la sehunda infeccion, codificado y original, y UNA VEZ BORRADOS LOS FICHEROS LOCKED DE LOS QUE YA FUNCIONAN, vuelve a lanzar el SDECODER.



Es muy importante borrar los locked de los que ya se han recuperado, pues sino, los echarían a perder al sobreescribirlos con el algoritmo de la segunda infeccion, y se perdería el trabajo realizado.



saludos



ms, 25-5-2012[/quote]

Hola buenas tardes!!



Aquí sigo con la tremeeenda tarea de los locked. Con respecto a ésto, comentar que me llamó la atención que muchos de éstos archivos ya descodificados no funcionaban y por ello intenté ejecutarlos desde otros progrmas (por ejemplo, archivos mp3 ó wma que windows media player ni me abría, si lo hacía winamp u otro reproductor); por lo que el problema eran los codecs del media player y no el archivos en si.



He ido descodificando, probando y eliminando lo que vá bien.... que por el momento son todos. Estoy a la espera de restablecer un programa para poder comprobar si los archivos vinculados al mismo funcionan; en cuanto tenga razón os comunico.



Mil gracias!!

[msc hotline sat]

Pues muy bien ! Asi da gusto dar soporte, con gente tan colaboradora y experimentada, que nos complementa e incluso aprendemos de ella !



Pues siga asi hasta el final y nos comenta cuando ya podamos dar por solucionado el Tema, gracias



saludos



ms, 28-5-2012