Zase jednou "policejní virus", co může způsobit?

[andybe]

Dobrý den,

objevil se nám zde "policejní virus", o kterém veškerým hledáním nacházím nejčerstvější zmínku až někdy zpětně v první polovině 2014. Viz příloha s foto. Nejedná se myslím o nic nového a už zkoumám návody na odstranění.

Nicméně nikde nemůžu najít informaci o tom, jakým způsobem je tento šmejd nebezpečný. Byť například žádná důležitá hesla na počítači ani v mailu dle vyjádření klienta (teta;)) neuchováváme, co může tato havěť způsobit?

Snad to bude jediná otázka a vir se mi podaří odstranit podle existujících návodů, nainstaluji také Spybot S&D a (asi) Avast, pokud to bude potřeba (není to můj počítač a přes fullscreen "policejního zemana" jsem se ještě nedostal, takže zatím netuším, co už tam je nebo není).

Díky za odpovědi

[Rudy]

Zdravím!
Může toho udělat poměrně dost, např. zašifrovat soubory. Má mnoho variant. Udělejte kompletní sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

[andybe]

Jenže jak mám udělat sken MBAM, když s tím počítačem nemůžu zkrz ten fullscreen hnout? (vyzkoušel jsem pár běžných klávesových zkratek jako alt f4, alt tab a ctrlaltdel menu)? Mezitím pomrkávám po Hitman USB bootu http://forum.viry.cz/viewtopic.php?f=29&t=132523 , měl by to být ten správný první krok?

[Rudy]

Zkuste to v nouz. režimu.

[andybe]

už vím, jak oskenuji pomocí MBAM.

nabootovat hitmanpro s usb se mi sice nepodařilo, protože na opravovaném notebooku pravděpodobně neexistuje žádné nastavení biosu, které by něco takového umožňovalo, klávesa Del zobrazí jen jakési rozšířené menu, pomocí kterého se mi ale podařilo vrátit systém do nějakého minulého stavu - do bodu obnovení.

Virus se v tuto chvíli už nezobrazuje, takže můžu vesele pokračovat v dalším odvirování (zítra). Pokud se mi podaří poslat log malwarebytes, jakože asi ano, budu vděčný za případné posouzení před další akcí, existuje také určitá šance, že to pochopím i sám, v tuto chvíli díky za pomoc

[Rudy]

OK, i zítra bych tu měl být.

[andybe]

Přemýšlím, co bych zdůraznil pro čtenáře, kterému by thread mohl pomoct...

K odstranění úkazu viru pomohl návrat systému k některému bodu obnovení. (Vzhledem k tomu, že fullscreen okno nejde odstranit, mělo by být možné nalézt další způsob při náběhu počítače, například zběsilým stiskáním klávesy F8 případně Del ).

Nadále je nutné provést scan systému pomocí nástrojů kvalitních i ve free verzi, jako je MalwareBytes, Spybot S&D, Avast antivirus...

Pro další provoz počítače se systémem Windows je vždy potřeba mít nainstalovaný residentní antivirus! Ponechal jsem Avast, v tomto případě.

Rudy: scan MBAM (malwarebytes) mi zde pak našel už jen dva trojany v AppData/Temp, takže jsem je nekompromisně zlikvidoval, jinak vše ok, také to psalo "Rootkits: Disabled", ale rootkity jsem důkladně otestoval i v avastu (nakonfal jsem test, co by měl být důkladný), snad by to mělo stačit. Takže log neposílám. Zbývá osvěta klienta (teta) o klikání na přílohy v mailu, nutnosti vypsat ručně adresu ibankingu a zeleného https:// v adresovém řádku, a tak. !

Původně jsem se ptal, co může tento "policejní virus" způsobit, už jsem si také přečetl, včetně tvé odpovědi, že kromě žádosti o peníze například šifruje soubory... nic takového jsem zde zatím nezjistil. Ale vzhledem k tomu, že potíž určitě spočívá v tom, že se nikdy nedá přesně předpokládat, co udělá nějaká nová verze, tak se teď dál úplně neptám, co to dělá anebo nedělá, ale je-li známo něco dalšího, do hlavy se mi to ještě určitě vejde.

Jinak je asi možné považovat thread za uzavřený. Díky moc!

[Rudy]

Já bych zdůraznil, že tzv. "policejní vir" (správně ransomware) má mnoho variant jak do způsobu odstranění, tak jeho projevů v PC. Nejhorší kombinace tohoto šmejda je možnost zašifrování některých souborů (zejména dokumentů a fotografií) bez možnosti jejich dešifrování. Proto je třeba dělat zálohy takových dokumentů, nechcete-li o ně přijít. Mějte se!

[altrok]

Zdravim,

tema je jiz vyresene, takze taky prispeju originalnim zpusobem jak se urcite verze cca rok zpatky jeden uzivatel zbavil.

Situace byla nasledujici - zadne sifrovani, ale policejni virus pouze "uzamkl" obrazovku a user zkousel v normalnim rezimu vsechno mozne az prisel na to, ze pri Ctrl+Shift+Esc (spravce uloh neboli task manager) toto okno na nekolik milisekund vyskoci, ale opet je zakryto policejnim virem. User ucinil nasledujici... mezi Shift a Ctrl vlozil zapalku, aby byly obe klavesy stisknute a mackal Esc, cimz mu hodne blikal task manager a druhou rukou (mysi) si po chvili boje nasel proces, ktery patril viru a ten zkratka ukoncil (odemkl obrazovku) a pak soubory manualne smazal.

Jedna se jen o perlicku a jde to samozrejme udelat i jinak, ale fantazii se meze nekladou

/e kazdopadne je na miste upozornit o soucasnem nejvetsim nebezpeci - kryptovirech - kdy Vam jsou po otevreni emailove prilohy zasifrovany (rozsypany caj) temer vsechny soubory a v urcitych pripadech jsou tato data nenavratne ztracena... zalohovat, zalohovat a jeste jednou zalohovat... a hlavne ne na externi disk, ktery je 24/7 pripojen k PC!!