W ciągu ostatnich 4-5 miesięcy kilkadziesiąt razy usuwałem z komputerów znajomych program/wirus który blokuje komputer z powodu rzekomego złamania polskiego prawa i podszywa się pod Polską Policję Cyberprzestępczość Department (pisownia oryginalna). Każe on sobie zapłacić od 300 do 900 zł, poprzez zakup kodu lub zdrapki. Ze względu na formę płatności, wirusa nazwano Ukash, który tak naprawdę jest bezgotówkowym kuponem. Wirus cały czas mutuje, ostatnio płatności obsługuje paysafecard i przy okazji możemy zobaczyć się w kamerce, przez którą rzekomo wszystko jest rejestrowane. Niektórzy posiadacze zainfekowanych komputerów biorą na serio wszystko co jest tam napisane, miałem więc telefony późno w nocy, że policja zablokowała komputer i co teraz robić, trafił do mnie również laptop z kamerką zaklejoną plastrem :). Oto jak ten wyłudzacz wyglądał w grudniu:
Na screenie widać również rzekomo rozpoznany IP, który w tym przypadku jest kompletną bzdurą, gdyż mam internet z netii, która posiada całkiem inną pulę.
UWAGA!!! Jeśli zainfekowany komputer pozbawimy internetu (wypięcie modemu, wyłączenie routera, wyciągnięcie kabla z karty sieciowej, wyłączenie karty WiFi), to uruchomi się on normalnie, ale proces będzie nadal działał w tle i zablokowany zostanie dostęp do np. menedżera zadań.
Przedstawię tutaj sposób usunięcia, na konkretnym przykładzie. W innych przypadkach sposób postępowania będzie analogiczny (o ile trojan bardziej nie zmutuje), ale zmienią się nazwy procesów, ścieżki położenia plików itp.
Zaczynamy od uruchomienia komputera w trybie awaryjnym, czyli klikamy control-alt-delete i wybieramy uruchom ponownie (w Windows 7 dolny prawy róg, rozwinięcie ikony wyłączenia). Następnie zaraz po ekranie Biosu naciskamy klawisz F8, liczy się refleks. Jeśli zdążymy, wybieramy opcję Tryb awaryjny:
Komputer uruchomi się bez zablokowanego windowsa, ale z kiepską rozdzielczością, brakiem dźwięku itp – załadowane zostanie absolutne minimum sterowników i aplikacji. Kolejny krok to uruchomienie narzędzia msconfig:
Dzięki temu w zakładce Uruchamianie mamy listę procesów startujących razem z systemem, szukamy tu dziwnego wpisu, który zlokalizowany jest np. w folderze temp. W tym konkretnie przypadku sprawa była prosta, gdyż nazwa została napisana cyrylicą, jak widać ukash podszył się pod Microsoft Windows, w polu Polecenie widać, że rundll32.exe ma uruchomić plik wlsitden.dll który jest zlokalizowany w C:\Users\nazwa_użytkownika\appdata\local\temp\
Pierwsze co należy zrobić, to odznaczyć uruchamianie tego procesu. Kolejny krok to usunięcie wspomnianego wcześniej pliku, ja wpisałem w uruchom jego ścieżkę, czyli C:\Users\nazwa_użytkownika\appdata\local\temp\, dzięki temu otworzyłem folder temp:
Przy okazji usunąłem też pliki utworzone na krótko przed infekcją i wszystkie z datą po. Sprawdziłem jeszcze autostart:
Okazało się, że jest tu dziwny plik runctf, który wskazuje na wcześniej usunięty wlsitden.dll. Koniecznie go usuwamy.
Po ponownym uruchomieniu komputera w normalnym trybie Windows nie był już blokowany, ale dla pewności włączyłem skaner antywirusowy on-line firmy F-Secure – moim zdaniem jeden z lepszych. Włączyłem pełne skanowanie – trwało to razem ze ściągnięciem programu uruchamianego w środowisku Java ponad godzinę, ale było warto:
Po oczyszczeniu komputera, sprawdziłem stan jego zabezpieczeń – zainstalowany tam mcaffe wygasł dwa lata temu, do tego wyłączone były aktualizacje systemu windows. Ściągnąłem wszystkie poprawki z Windows Update, w tym Service Pack 1 oraz zainstalowałem darmowy antywirus Microsoft Essentials, który nie spowalnia pracy komputera i chroni przed zagrożeniami. Komputer wrócił do zadowolonego właściciela :).
Napisz, jeśli też padłeś ofiarą tego trojana.
Mamy w domu dość wiekowy (2012) Boombox Philips, model AZ385/12 używany przez dzieci głównie jako…
Mega tanie, bezprzewodowe moduły Internet of Things na dobre zadomowiły się w naszych sieciach. Od…
Pewnie nie każdy posiadacz tytułowej stacji lutowniczej wie, że posiada ona możliwość aktualizacji firmware'u. Producent…
Jakiś czas temu, przeglądając Aliexpress natknąłem się na ciekawy shield do Arduino Nano. Według opisu…
W mailach i komentarzach kilka razy przewijała się prośba o ten wpis. Chodzi o aktualizację…
Dziś tematyka audio, a nawet audiofilska. Uznany wzmacniacz słuchawkowy Lehmann Black Cube Linear o dość…
Zobacz komentarze
tak tylko jest problem bo wirus teraz nawet blokuje tryb awaryjny co wtedy zrobić ?
@Deksper
Z takim przypadkiem jeszcze się nie spotkałem, ale można uruchomić Windows z płyty instalacyjnej i z menu naprawczego wybrać przywracanie systemu, np. na dzień przed infekcją, lub uruchomić komputer z płytki Hiren's Boot i usunąć wirus z wykorzystaniem zawartych tam narzędzi. Skuteczny też może okazać się Kaspersky uruchamiany z bootowalnej płyty.
hej
dzięki za pomoc, niestety dopadło nas to dziś 09 stycznia 2013 na Win XP.
Niestety ekran blokujący pojawiał się cały czas i przy trybie awaryjnym i przy odłączeniu sieci.
Odpaliłem wiersz poleceń, z którego poziomu wpisałem "exit" pojawił się czrny ekran kombinacja ctrl+alt+del pozwoliła uruchomić msconfig, oraz total commandera w którym zmieniłem nazwę pliku
Pomogła zmiana nazwy pliku wirusa i następnie jego ręczne usunięcie już po odpaleniu ponownie kompa.
Pozdrawiam
Krzysztof
@krzysztof
Dzięki za dodatkowe wskazówki - na pewno przydadzą się kolejnym ofiarom ataku wirusa, który jak widać caly czas mutuje. Pozdrawiam i życzę jak najmniej takich "niespodzianek".
Dzięki wielkie. Instrukcja napisana w bardzo prosty sposób dla takich oporniaków jak ja.
@krzysztof- czy mógłbyś bardziej szczegółowo opisac co dokładnie zrobiłeś (tak dla laika),
ponieważ ja tez niestety padłam ofiarą odmiany wirusa, który opisujesz.
Jestem na etapie uruchamiania trybu awaryjnego- po którym mam do wyboru konta uzytkownika- nieważne, które wybieram, oczywiście komputer jest zablokowany. Piszesz, że udało ci sie uruchomic wiersz poleceń itd...
Będę z góry wdzięczna za pomoc.@krzysztof
@krzysztof
Skorzystałem z porad Krzysztofa ale musiałem zrokalizować total commandera za pomocą polecenia DIR. Po jego uruchomieniu zobaczyłem w Documents and settings/administrator i kartotece bieżącego użytkownika znalazłem pliki o dziwnych nazwach dsdsdsdsds.exe wsdwdsdwds.pad, z którymi postąpiłem podobnie jak Krzysztof. Dziękuję i pozdrawiam.
Wskazowki napewno przydatne lecz za chiny ludowe nie chce mi sie uruchomic system awaryjny. Czy mozna wiedziec dlaczego?
@Banan Jeśli komputer nie chce się uruchomić normalnie lub w trybie awaryjnym, polecam płytę Hiren's Boot. Znajduje się tam Windows XP live, z poziomu którego mamy dostęp do katalogów i plików naszego dysku oraz szereg narzędzi, w tym antywirusowych, dzięki którym można usunąć wirusa.
Tak jak @Banan polecam Hiren's Boot CD, jest tam bardzo dużo przydatnych programów. Jednak wirus mutuje - oststni przypadek tego wirusa nie miał rozszerzenia ".pad" jak napisał @Krzysztof "dsdsdsdsds.exe wsdwdsdwds.pad" a podszył się pod skype! Człowiek któremu usunąłem wirusa nigdy nie korzystał i nie instalował tego komunikatora ... Teraz dla tych którzy nie mogą odpalić swojej maszyny w safemod ( tryb awaryjny)
1) F8
2) Tryb awaryjny z wierszem polecenia
3) W konsoli wpisać: taskmgr // nacisnąć enter
4) W zakładce Aplikacje wybrać przycisk "Nowe zadanie"
5) Wpisać " explorer" //nacisnąć enter (można też wpisać explorer.exe i nacisnąć enter)
Ten wirus na szczęście nie czyni żadnych szkód w systemie.
Pozdr
Pogotowie Komputerowe Warszawa