Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Monday, June 3, 2013

Ukash Policevirus (ransomware)

http://www.infospyware.com/antimalware/polifix/
PoliFix es una herramienta gratuita desarrollada por @InfoSpyware para elimina el virus de la policía, también conocido como ransomware de la policía. Si te han aparecido avisos con el logo de la policía y una invitación a pagar una cantidad de dinero, PoliFix es lo que necesitas.

“Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista.”
Con este mensaje, cientos de usuarios en España, Argentina y Europa han visto cómo su ordenador se bloqueaba nada más arrancarlo. Con el logo de la policía española, este ransomware es una de las plagas más insidiosas de los últimos tiempos…
Funciones de PoliFix:
PoliFix detecta y elimina el virus de la policía (también llamado Ukash virus) en todas sus variantes conocidas las cuales nos van reportando a través de nuestros Foros de Ayuda gratuita. (Policía Española, Argentina, Alemana, Bélgica, Francesa, Holandesa, Italiana, Inglesa y Suiza.)
Desbloquea y repara todas las funciones de Windows modificadas por el ransomware, Administradores de Tareas, Escritorio, REGEDIT, Modo Seguro (Modo a prueba de fallos)
PoliFix comprueba la versión de Java instalada en el equipo y en caso de estar desactualizada, advierte al usuario mediante un mensaje de alerta.
PoliFix genera un reporte en C:\PoliFix-log.txt en donde muestra las acciones realizadas.
Para usar PoliFix, siga los siguientes pasos:
1- Descarga PoliFix en una memoria USB desde otro PC
2- Inicia el PC infectado en Modo a prueba de errores
3- Conecta el pendrive en el ordenador
4- Ejecuta PoliFix desde el pendrive y espera
.
 Guía de cómo eliminar el “Virus de la Policía” (Ransomware)
Ransomware: Aviso falso de la Policía ARGENTINA y ESPAÑOLA
========================
Polifix no elimina al Virus policía
Descargá OTL By OldTimer
  Ejecutá OTL

  • Cerrá todos programas que tengas abiertos y Hacé doble click en el ícono de OTL para ejecutarlo.
  • Dejalo correr sin interrumpirlo asta que termine el Análisis.
  • Cuando la interfaz aparesca, solo debes cambiar Abajo de: "Tipo de Análisis" poniendo Resultado Minimo.
  • Marcá las opciones: Buscar LOP y Buscar Purity.
  • Marcá las Opciones Omitir Archivos De Microsoft y Usar Listado de Compañias Reconocidas.
  • Pegá el siguiente script bajo la casilla Análisis Personalizados/Codigo de Reparación:

    NOTA: No copiar la palabra Cita.
    netsvcs
    msconfig
    %SYSTEMDRIVE%\*.*
    CREATERESTOREPOINT
  • Por favor No cambies el resto de la configuración a menos que te lo solicitemos.
  • Presioná el boton .
  • Una vez que termine, se abrirán dos (2) archivos, OTL.Txt y Extras.Txt. Éstos aparecerán grabados en el mismo lugar OTL.exe fue descargado.
  • Copiá y pegá el contenido del archivo OTL.txt en tu próxima respuesta.
 ------------------------------------------
Ejecutá OTL.exe
Copiá y Pegá el código que está dentro del recuadro de abajo en la sección Análisis Personalizado / Código de Reparación específico para ese usuario

Código:
:OTL
O2 - BHO: (Megaupload Toolbar) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~2\MEGAUP~2\MEGAUP~1.DLL (MEGAUPLOAD )
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Megaupload Toolbar) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~2\MEGAUP~2\MEGAUP~1.DLL (MEGAUPLOAD )
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\Program Files (x86)\Funmoods\funmoods\1.5.11.16\funmoodsTlbr.dll (Funmoods)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Megaupload Toolbar) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - C:\PROGRA~2\MEGAUP~2\MEGAUP~1.DLL (MEGAUPLOAD )
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [hhpmxyjjyktmttcj] C:\Windows\System32\regsvr32.exe /s "C:\Windows\system32\rimbmvxdrklzaxve.dll" File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKLM..\Run: [Update] C:\Users\PALOMAROJA\AppData\Roaming\0.5719887716399666h7i.exe ()
O4 - HKCU..\Run: [] File not found
O33 - MountPoints2\{219bcf8b-b613-11e0-a57b-206a8a13475d}\Shell - "" = AutoRun
O33 - MountPoints2\{33288cdd-ffac-11e0-a968-206a8a13475d}\Shell - "" = AutoRun
O33 - MountPoints2\{6b9189d6-a862-11e0-8108-206a8a13475d}\Shell - "" = AutoRun
O33 - MountPoints2\{6b9189e3-a862-11e0-8108-206a8a13475d}\Shell - "" = AutoRun
O33 - MountPoints2\{6b9189e3-a862-11e0-8108-206a8a13475d}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{6d091e81-bae8-11e0-a45f-206a8a13475d}\Shell - "" = AutoRun
O33 - MountPoints2\{6d091e81-bae8-11e0-a45f-206a8a13475d}\Shell\AutoRun\command - "" = F:\AutoRun.exe
[2012/03/20 1142 | 000,166,400 | ---- | C] () -- C:\Users\PALOMAROJA\AppData\Roaming\0.5719887716399666h7i.exe
@Alternate Data Stream - 832 bytes -> C:\Windows:nlsPreferences
@Alternate Data Stream - 1195 bytes -> C:\ProgramData\Microsoft:bN5jX22tp7PhvhaQ9A0J
@Alternate Data Stream - 1182 bytes -> C:\ProgramData\Microsoft:EbpGmRP9S4wtx1sI
:Files
ipconfig /flushdns /c
:Commands
[PURITY] 
[EMPTYTEMP]
[EMPTYFLASH]
[RESETHOSTS]






Presioná el Boton Reparar para lanzar la eliminación. Presionas OK.
OTL va a Reiniciar el ordenador para completar la eliminación.
Guardas el nuevo reporte generado. Lo copias y pegas en Tu próxima respuesta

No comments: