Jak usunąć Komputer został zablokowany! Polska Policja

W ciągu ostatnich 4-5 miesięcy kilkadziesiąt razy usuwałem z komputerów znajomych program/wirus który blokuje komputer z powodu rzekomego złamania polskiego prawa i podszywa się pod Polską Policję Cyberprzestępczość Department (pisownia oryginalna). Każe on sobie zapłacić od 300 do 900 zł, poprzez zakup kodu lub zdrapki. Ze względu na formę płatności, wirusa nazwano Ukash, który tak naprawdę jest bezgotówkowym kuponem. Wirus cały czas mutuje, ostatnio płatności obsługuje paysafecard i przy okazji możemy zobaczyć się w kamerce, przez którą rzekomo wszystko jest rejestrowane. Niektórzy posiadacze zainfekowanych komputerów biorą na serio wszystko co jest tam napisane, miałem więc telefony późno w nocy, że policja zablokowała komputer i co teraz robić, trafił do mnie również laptop z kamerką zaklejoną plastrem :). Oto jak ten wyłudzacz wyglądał w grudniu:

Na screenie widać również rzekomo rozpoznany IP, który w tym przypadku jest kompletną bzdurą, gdyż mam internet z netii, która posiada całkiem inną pulę.

UWAGA!!! Jeśli zainfekowany komputer pozbawimy internetu (wypięcie modemu, wyłączenie routera, wyciągnięcie kabla z karty sieciowej, wyłączenie karty WiFi), to uruchomi się on normalnie, ale proces będzie nadal działał w tle i zablokowany zostanie dostęp do np. menedżera zadań.

Jak usunąć Ukash

Przedstawię tutaj sposób usunięcia, na konkretnym przykładzie. W innych przypadkach sposób postępowania będzie analogiczny (o ile trojan bardziej nie zmutuje), ale zmienią się nazwy procesów, ścieżki położenia plików itp.

Zaczynamy od uruchomienia komputera w trybie awaryjnym, czyli klikamy control-alt-delete i wybieramy uruchom ponownie (w Windows 7 dolny prawy róg, rozwinięcie ikony wyłączenia). Następnie zaraz po ekranie Biosu naciskamy klawisz F8, liczy się refleks. Jeśli zdążymy, wybieramy opcję Tryb awaryjny:

Komputer uruchomi się bez zablokowanego windowsa, ale z kiepską rozdzielczością, brakiem dźwięku itp – załadowane zostanie absolutne minimum sterowników i aplikacji. Kolejny krok to uruchomienie narzędzia msconfig:

Dzięki temu w zakładce Uruchamianie mamy listę procesów startujących razem z systemem, szukamy tu dziwnego wpisu, który zlokalizowany jest np. w folderze temp. W tym konkretnie przypadku sprawa była prosta, gdyż nazwa została napisana cyrylicą, jak widać ukash podszył się pod Microsoft Windows, w polu Polecenie widać, że rundll32.exe ma uruchomić plik wlsitden.dll który jest zlokalizowany w C:\Users\nazwa_użytkownika\appdata\local\temp\

Pierwsze co należy zrobić, to odznaczyć uruchamianie tego procesu. Kolejny krok to usunięcie wspomnianego wcześniej pliku, ja wpisałem w uruchom jego ścieżkę, czyli C:\Users\nazwa_użytkownika\appdata\local\temp\, dzięki temu otworzyłem folder temp:

Przy okazji usunąłem też pliki utworzone na krótko przed infekcją i wszystkie z datą po. Sprawdziłem jeszcze autostart:

Okazało się, że jest tu dziwny plik runctf, który wskazuje na wcześniej usunięty wlsitden.dll. Koniecznie go usuwamy.

Na koniec

Po ponownym uruchomieniu komputera w normalnym trybie Windows nie był już blokowany, ale dla pewności włączyłem skaner antywirusowy on-line firmy F-Secure – moim zdaniem jeden z lepszych. Włączyłem pełne skanowanie – trwało to razem ze ściągnięciem programu uruchamianego w środowisku Java ponad godzinę, ale było warto:

Po oczyszczeniu komputera, sprawdziłem stan jego zabezpieczeń – zainstalowany tam mcaffe wygasł dwa lata temu, do tego wyłączone były aktualizacje systemu windows. Ściągnąłem wszystkie poprawki z Windows Update, w tym Service Pack 1 oraz zainstalowałem darmowy antywirus Microsoft Essentials, który nie spowalnia pracy komputera i chroni przed zagrożeniami. Komputer wrócił do zadowolonego właściciela :).

Napisz, jeśli też padłeś ofiarą tego trojana.

49 thoughts on “Jak usunąć Komputer został zablokowany! Polska Policja

  1. tak tylko jest problem bo wirus teraz nawet blokuje tryb awaryjny co wtedy zrobić ?

  2. @Deksper
    Z takim przypadkiem jeszcze się nie spotkałem, ale można uruchomić Windows z płyty instalacyjnej i z menu naprawczego wybrać przywracanie systemu, np. na dzień przed infekcją, lub uruchomić komputer z płytki Hiren’s Boot i usunąć wirus z wykorzystaniem zawartych tam narzędzi. Skuteczny też może okazać się Kaspersky uruchamiany z bootowalnej płyty.

  3. hej
    dzięki za pomoc, niestety dopadło nas to dziś 09 stycznia 2013 na Win XP.
    Niestety ekran blokujący pojawiał się cały czas i przy trybie awaryjnym i przy odłączeniu sieci.
    Odpaliłem wiersz poleceń, z którego poziomu wpisałem „exit” pojawił się czrny ekran kombinacja ctrl+alt+del pozwoliła uruchomić msconfig, oraz total commandera w którym zmieniłem nazwę pliku
    Pomogła zmiana nazwy pliku wirusa i następnie jego ręczne usunięcie już po odpaleniu ponownie kompa.

    Pozdrawiam
    Krzysztof

  4. @krzysztof
    Dzięki za dodatkowe wskazówki – na pewno przydadzą się kolejnym ofiarom ataku wirusa, który jak widać caly czas mutuje. Pozdrawiam i życzę jak najmniej takich „niespodzianek”.

  5. Dzięki wielkie. Instrukcja napisana w bardzo prosty sposób dla takich oporniaków jak ja.

  6. @krzysztof- czy mógłbyś bardziej szczegółowo opisac co dokładnie zrobiłeś (tak dla laika),
    ponieważ ja tez niestety padłam ofiarą odmiany wirusa, który opisujesz.
    Jestem na etapie uruchamiania trybu awaryjnego- po którym mam do wyboru konta uzytkownika- nieważne, które wybieram, oczywiście komputer jest zablokowany. Piszesz, że udało ci sie uruchomic wiersz poleceń itd…
    Będę z góry wdzięczna za pomoc.@krzysztof

  7. @krzysztof
    Skorzystałem z porad Krzysztofa ale musiałem zrokalizować total commandera za pomocą polecenia DIR. Po jego uruchomieniu zobaczyłem w Documents and settings/administrator i kartotece bieżącego użytkownika znalazłem pliki o dziwnych nazwach dsdsdsdsds.exe wsdwdsdwds.pad, z którymi postąpiłem podobnie jak Krzysztof. Dziękuję i pozdrawiam.

  8. Wskazowki napewno przydatne lecz za chiny ludowe nie chce mi sie uruchomic system awaryjny. Czy mozna wiedziec dlaczego?

  9. @Banan Jeśli komputer nie chce się uruchomić normalnie lub w trybie awaryjnym, polecam płytę Hiren’s Boot. Znajduje się tam Windows XP live, z poziomu którego mamy dostęp do katalogów i plików naszego dysku oraz szereg narzędzi, w tym antywirusowych, dzięki którym można usunąć wirusa.

  10. Tak jak @Banan polecam Hiren’s Boot CD, jest tam bardzo dużo przydatnych programów. Jednak wirus mutuje – oststni przypadek tego wirusa nie miał rozszerzenia „.pad” jak napisał @Krzysztof „dsdsdsdsds.exe wsdwdsdwds.pad” a podszył się pod skype! Człowiek któremu usunąłem wirusa nigdy nie korzystał i nie instalował tego komunikatora … Teraz dla tych którzy nie mogą odpalić swojej maszyny w safemod ( tryb awaryjny)
    1) F8
    2) Tryb awaryjny z wierszem polecenia
    3) W konsoli wpisać: taskmgr // nacisnąć enter
    4) W zakładce Aplikacje wybrać przycisk „Nowe zadanie”
    5) Wpisać ” explorer” //nacisnąć enter (można też wpisać explorer.exe i nacisnąć enter)

    Ten wirus na szczęście nie czyni żadnych szkód w systemie.
    Pozdr
    Pogotowie Komputerowe Warszawa

  11. Hej, zrobiłam to według instrukcji, wyłączyłam działanie wirusa, usunęłam z programów… A on nadal tam siedzi :/ co jeszcze mogę zrobić? pomocy!

  12. A co jeśli nie mam tam pliku napisanego cyrylicą tylko wszystkie normalne? Bo nie wiem co mam usunąć :(

  13. @aaa Tak jak pisałem – trzeba szukać wpisu, który uruchamia plik z dziwną nazwą lub z dziwnej lokalizacji – np. z folderu temp.

  14. Witam Serdecznie . Ja też zostałem ofiarą tego samego wirusa kilka dni temu . Niestety ze względu na to że słabo się znam na kompie posunołem się do bardziej drastycznych rzeczy. Uruchomiłem system z płyty i wpisałem od nowa windowsa 7 formatując całą partycje systemową , teraz widze że nie potrzebnie ale nie szkodzi dużo nie straciłem . Pomogło , chociaż nie polecam tego co zrobiłem.

  15. Mam tutaj prostszy banalny sposób na usuniecie tego wirusa:
    zapraszam na:

    rozczochraany.blogspot.com/2013/01/wirus-polska-policja-cyberprzestepczosc.html

    Pozdrawiam!

  16. @rozczochraany Twoja metoda nie działa na każdej mutacji tego wirusa, miałem przypadek, że mimo cofnięcia systemu o 8 dni sprzed infekcji, komputer i tak był zablokowany. Niemniej jednak warto spróbować.

  17. jak ja wlaczam lapka przy awaryjnym i normalnym to sie resetuje gdzies w polowie wlaczania kompa a rano wlaczal sie normalnie i sie wyswietlal ten wirus

  18. @koniu09 Poczytaj na stronie wpisy o resetującym się komputerze, bo może nie koniecznie to sprawka wirusa. Jeśli to XP, to duże prawdopodobieństwo, że pomoże checkdisk.

  19. @Wojtek ten antywirus online to nie polecam i żaden inny, lepiej kupić sobie dobry antywirus.
    Ja dziękuję za antywirus online, starego lisa na padlinę nie złapią.Tak samo te nowe systemy Windows to totalna kicha jak na początku był Windows XP ,a teraz najlepszy system , choć wolę Linux-Debian.A co do wirusów i antywirusów to jest to tak napiszę najprościej.
    Jedna osoba wybija szyby ,a druga szkli tak samo jedni robią wirusy ,a drudzy antywirusy.

  20. Microsoft Essentials wcale nie chroni przed tym wirusem, gdyż mam go (świeci na zielono) a dziś władował mi się ten wirus.

  21. No i mnie też wczoraj dopadło to ścierwo. Ale dzięki za pomoc, udało się to gówno skasować. U mnie NAJPRAWDOPODOBNIEJ kryło się pod nazwą build.exe w folderze appdata/local.
    Po usunięciu ‚temp’ nie poprawilo się nic, w autostarcie też nie było nic, a jednak jakoś się włączył.

  22. Mi to wyskoczyło, próbowałem przez chwilę naprawić to inaczej ale ostatecznie wyjąlem baterię z laptopa i uruchomilem ponownie :D Teraz wszystko juz działa

  23. No i witam ponownie :D dziś znowu dopadlo mnei to dranstwo, tym razem w zmutowanej wersji. Po wejsciu w system awaryjny po około 1 min cały czas resetowało mi system, nie było czasu żeby czegoś poszukać (obstawiam że to sprawka wirusa, choć tu już pojawia sie sugestia że to może wina systemu? Win 7. gdy miesiac temu mnie to dopadlo to tak nie było).
    Przywróciłem system z kilku dni wcześniej i pomogło.
    Poszly wszystkie możliwe skany systemu i jest czysto

    Dzieki za te porady i stronke

  24. No dobrze, wszystko to mądre co piszecie, ale nie można nic zrobić w 30 sekund, po tym czasie komputer się wylacza

  25. Rano włączam komputer, chwilę serfuje po internecie, a tu nagle wyświetla się komunikat o tym, że mój komputer został zablokowany prze policję. Wiedziałam, że to wirus a nie policja bo czytałam o tym wcześniej w gazecie. Poszłam do kafeiki internetowej, zobaczyłam jak usunąć to dziadostwo i myślałam, że po kłopocie. A tu po kilku godzinach odbieram telefon a tam „dzień dobry, komenda policji” i wzywają mnie na przesłuchanie! Ktoś może miał podobnie? Może to dalej hakerzy podszywają się pod policję? Niech ktoś napiszę jak miał podobną sytuację

  26. Witam ,
    najprostszym , oraz najbezpieczniejszym sposobem na usuniecie tego wirusa jest przywrocenie systemu . Na przyklad do ustawien z dnia poprzedniego .
    1. usuwa wam wszystkie zainstalowane skladniki wirusa w waszym komputerze (latwy)
    2. brak ingerencji programow zewnetrznych penetrujacych wasze dane (bezpieczny)
    3. Pewnosc , ze wszystkie pliki wirusa zostaly usuniete z komputera :)
    nie rozumiem czemu zwiedzajac kilka for z poradami jak to usunac nikt wczesniej nie wspomnial nawet o przywroceniu systemu

  27. zapomnialbym dodac przywracamy system rzecz jasna w trybie awaryjnym , bo jak zdazyliscie sie przekonac z poziomu systemu nic nie zdazycie zrobic.

  28. Mnie dzisiaj to dopadło, wejście w tryb awaryjny nie skutkowało, co więcej resetowało mi komputer, dlatego postanowiłem przywrócić system do dnia wczorajszego, jestem w trakcie, dam znać jaki będzie efekt.

  29. Witam, u mnie dziś to samo. Trybu awaryjnego nie mogę włączyć ( error), pół dnia się męczę. Jedyna rzecz, która działa to ThinkVantage ( Lenovo R61) lecz tu nie mam możliwości przywrócenia systemu do dnia wczorajszego, mam do wyboru dwie daty: sprzed 3 i sprzed 2 lat. Wybrałam tą sprzed 2 z możliwością wybrania i zachowania później zainstalowanych programów. Zachowałam tylko te, które są mi niezbędne, usunęłam całego FlashPayera, gdyż jestem przekonana, iż to właśnie tam po wczorajszej aktualizacji to dziadostwo było. I teraz pytanie do fachowców: ile może takie przywracanie potrwać? Uruchomione około godziny temu nic się nie dzieje ( System restore in progress…0%)

  30. do uzytkownika Inka ,
    twoj problem jest dosc popularny , error trybu awaryjnego powoduje wlasnie ten wirus , zabezpieczeniem na przyszlosc jest utworzenie konta zwyklego uzytkownika i z niego polecam korzystac , bo w przypadku zarazenia komputera na zwyklym koncie uzytkownika pozostaje nietkniety administrator gdzie awaryjny hula bez zarzutu . Co do sedna sprawy
    usuniecie flashplayera nie rozwiaze twojego problemu a go jedynie zachamuje do czasu ponownego jego zainstalowania a to dlatego ze wirus ten tylko korzysta z aplikacji jaka jest flash by monitorowac swoja zawartosc na ekranie za jego pomoca . Jednakze usuniecie flasha pozwoli Ci na tymczasowe swobodne poruszanie sie po systemie w normalnym trybie dzialania . 3 sprawa przywracania do tak odleglych dat nie polecam , system z nadmiaru czynnosci moze nie dac sobie rady z takim zadaniem . Tu proponuje udac sie po wiedze na temat tego wirusa gdzies gdzie bedziesz miala opisane jakie pliki badz procesy wchodza w jego sklad i wtedy poprzez usuniecie plikow / procesow recznie uporac sie z problemem. Tak ja to widze w twoim przypadku

  31. Witam. Każdy kto złapał tego wira głowił się jak z go usunąć:) Mnie się udało prostym sposobem, którym chciałem się z Wami podzielić:)

    Jak wirus zablokuje Wam kompa to:

    1. Robimy restart
    2. Wchodzimy w tryb awaryjny z obsługą sieci
    3. Tam wpisujemy explorer.exe
    4. Gdy mamy dostęp do kompa wchodzimy w program CCleaner (najlepiej już dziś zainstalować najnowszą wersję)
    5. Tam wchodzimy w narzędzia-autostart i wyłączamy wszystkie możliwe procesy w autostarcie
    6. Dla pewności po tej operacji wchodzimy w dysk c-administrator-documents and settings i tam wyrzucamy plik, który jest bez folderu
    7. Następnie wchodzimy w dysk c-dane aplikacji-documents and settings i tam wyrzucamy także plik, który jest bez folderu
    8. Następnie restartujemy kompa i wszystko hula jak przedtem:)

  32. PS> W punkcie 7 powinno być 7. Następnie wchodzimy w dysk c-all users-documents and settings i tam wyrzucamy także plik, który jest bez folderu

  33. Witam, w trakcie przeglądania stron internetowych, wyskoczyła mi oddzielna karta z tym właśnie wirusem, próbowałem wyłączyć ale nie dało sie nic kliknąć, więc wyłączyłem komputer przyciskiem zasilania z tyłu ( wyłączyłem go po ok 10 sek. od pojawienia sie tego wirusa) następnie włączyłem komputer i wszystko było ok, więc chyba szybkie awaryjne wyłączenie komputera po jeszcze nie całkowicie załadowaniu sie wirusa pomaga :D

  34. Właśnie dziś wyskoczyło mi to świństwo.Prawie, że dostałam zawału.
    No ale wyłączyłam komputer i znów włączyłam i jest ok.Myślę, że znowu to mi siębnie pojawi.

    Ps.Złapali tych, którzy zrobili to coś.

  35. Po raz pierwszy gdy to cholerstwo się wyświetliło, dałem radę zwykłym przywracaniem systemu. Za drugim razem również. Ale ten, który mam teraz (i chyba jak zrestartuję to już go nie będzie) to mocniejsze draństwo. Przeglądam internet i komputer grzecznie się mnie pyta, czy nagle chcę wyłączyć komputer. Ja, jako grzeczne dzieciątko, myślałem, że coś się zainstalowało lub zupdatowało, więc wyłączyłem i po jego ponownym uruchomieniu pojawiło się to ścierwo. Próbowałem przywracać system, bo raz mi na trybie awaryjnym zadziałał. Okazuje się, że była jakaś „odmowa dostępu” i nie doszło do przywrócenia. Co gorsza, wirus pojawiał się również w trybie awaryjnym. I z dostępem do sieci. A ten z wierszem poleceń… nie wyświetlał wiersza poleceń! A teraz pytanie – jak to się dzieje, że wirus jest na moim komputerze, jest nawet na pasku zadań, a piszę tu do was? Otóż jedyne na co komputer reagował, było alt+tab. Wyświetlał się pasek, ale cóż dalej, jeśli nic po włączeniu nie wyświetlało się przed wirusa? Spamowałem alt tabem z nerwów, aż w jakiś sposób udało mi się „przedostać” z jakimś oknem przed wirusa. Dalej można było normalnie funkcjonować :D Pobrałem anti-malware, uruchomiłem ponownie, no cóż, był dalej. 5000 alt tabów później mogłem dalej szperać w necie, wyczytałem tu o wyłączeniu go z autostartu. Patrzyłem wiele innych metod, ale tylko ta wydaje się zgadzać – z tą różnicą, że dalej, w folderze „temp” nie było żadnych podejrzanych plików. Spróbuję chyba zaraz zrestartować kompa i zobaczymy, czy autostart+malware coś pomogą.

  36. Szybkie wywalenie

    – wchodzimy w opcje systemu awaryjnego z wierszem polecenia
    – tam po wgraniu wchodzimy wpisujemy explorer.exe
    – uruchomi się nam system
    – wchodzimy w dysk c/documents and settings/administator/dane aplikacji
    – w dane aplikacji usuwamy wszystkie pliki, które są „luzem” (nie znajdują sie w folderach)
    – potem wchodzimy w folder ustawienia lokalne/temp i usuwamy wszystko co w nim jest
    – następnie uruchamiamy system normalnie i powinien na 100% odpalić
    – wtedy szybkie skany i usuwanie jeśli zostały jakieś pozostałości:)

    • Dzięki, że dzielisz się wskazówkami z innymi. Ja już dawno nie miałem na stole komputera zainfekowanego tym wirusem, ale widzę, że pojawiają się kolejne mutacje.

  37. Proponuje zapalić ognisko przy komputerze i tańczyć w koło ogniska, komp zgłupieje hehehe:)
    A sprawdziłeś zaplanowane zadania, tam powinno być coś co nie pasuje, wystarczy usnąć.
    I jeszcze coś nie można używać starych skrótów z pulpitu zrób nowe z program files..
    Oraz adwcleaner by się przydał. uruchomić.:)

Dodaj komentarz