Virus Politia Romana

gumball3000, on 21 decembrie 2012 - 19:35, said:

Nu pot sa intru in Safe Mode in nici una din cele 3 variante (Safe Mode simplu, cu retea sau cu Command Prompt) !
Initializarea Windows-ului in Safe Mode se blocheaza la load-ul fisierului Windows/System32/Mup.Sys !

Ce fac ?!

Oameni buni, am gasit, de unul singur solutia; vorba vine...de unul singur; am "scotocit" internetul ore bune si am incercat tot ce parea "plauzibil de succes"; sper sa le ofer o bucurie si altora care au aceeasi problema, sa nu se mai chinuie atat de mult, ca mine.

    Solutia pare simpla acum, la mine a mers nesperat de bine, as spune perfect, cand imi cam pierdusem speranta de a rezolva elegant problema.

   Asadar, descarcati "COMBOFIX" (cautati ultima varianta, preferabil); apoi copiati, strict prin comenzi DOS, evident in "SAFE MODE", softul (eu l-am pus chiar pe desktop); dati executare, tot in DOS si...asteptati; "curatenia" dureaza maxim 15-20 minute (timp in care trece prin vreo 38 de "faze" de curatare) dupa care, minune: aveti PC-ul aproape curat (in orice caz, scapati de nebunia asta de virus); recomandarea este ca, dupa ce terminati curatarea sa instalati cel putin un antivirus bun si un antispware la fel de bun si sa le rulati si pe acestea!

   Va multumesc mult, oricum, pentru orice raspuns din partea voastra.

   In acelasi timp m-as bucura sa primesc vesti de la cei care au incercat varianta asta "castigatoare".

                                Numai bine!

Pai cum sa o incercam daca nu ne-ai dat-o?

xxvirusxx,

Uite, ai spus ca vrei sa te joci cu el; se pare ca te pot ajuta sa-l "palpezi" un pic; il cheama "Win32/Reveton.N" trojan.
Dupa ce am scapat de simptomul major am instalat/rulat  si Eset Smart Security  si a mai gasit niste ramasite, resturi din el...

SONY - zi mersi ca iti mai merge sistemul, ComboFix nu se utilizeaza asa. Ai avut un noroc chior.

vladut - e cam nasol daca nu poti intra, ptr ca virusul asta nu te lasa sa intrii in Windows Normal. Exista un fix in topicul de linkuri si Scripturi Utile, dar asta presupune sa il poti rula din sistem.

Eu am rezolvat cu intrat in Safe Mode with networking, instalat Malware Bites, rulat, gasit, bagat in carantina.

De regula isi creaza un shortcut Hidden in folder-ul Startup din meniul Start...

mai nou vad ca virusu` asta mananca si posturi.....

eiffel daca vrei virusu il am arhivat pe desktop varianta 2013, tocmai ce l-a laut tata sa im zici cum sa ti-l trimit. Poate fac si un tutorial cum se sterge manual.

astazi tocmai ce am devirusat un calculator infectat cu politia romana
am facut un cd bootabil cu BitDefender_rescue_CD , am bootat de pe el si apoi am reusit sa intru in windows
Imediat ce se incarca windowsul aparea o eroare , ceva legat de un .dll , banuiesc ca tot ceva de la virus
Apoi am facut o scanare completa cu Avast free si cu malware,s bite care a mai gasit ceva
si asta a fost

Edited by MembruAnonim, 11 January 2013 - 23:48.

Interesant virusul. Fata de priam varianta intalnita, asta foloseste un certificat Microsoft de pe vremea XP ptr "nslookup APP", dar in  RUSA.

Rata de detectie este extrem de redusa: doar 10 antivirusi din 45 pe virus total.

Malwarebytes nu-l detecteaza, dar MSE-ul / Windows Defender a sarit in sus si l-a sters dupa 2 minute.

L.E. Nu stiu ce s-a intamplat cu posturile lipsa. Si ale mele lipsesc.

L.L.E. Am aflat. - mai era un topic - pe care il unesc acum cu asta.

Edited by eiffel, 12 January 2013 - 12:58.

vladut_v, on 09 ianuarie 2013 - 19:13, said:

eiffel, on 10 ianuarie 2013 - 09:15, said:

Am reusit intrarea in Safe Mode ! Folosind CD-ul cu Windows, am boot-at de pe acesta, selectat comanda R (Recovery) iar in Command Prompt: CHKDSK /s /p mi-a reparat (relocat) zonele cu probleme/erori de pe HDD. La 120 GB partitia, procedura a durat 2 ore si jumatate ... DAR s-a reparat si acum intra in Safe Mode.

Ulterior, in Safe Mode with Command Prompt, utilitarul Bitdefender special creat, a detectat virusul dar nu a putut sa-l eliminea, dadea eroare. Am instalat kit-ul Kaspersky Virus Removal Tool si am scapat de virus in 2 minute cat a durat scanarea si restartul.

larahau, on 23 decembrie 2012 - 03:10, said:

Am folosit varianata asta si dupa multe incercari am reusit. Am inhatat virusul de pe faceebook la  fel cum avea si sony, varianata 400 lei. La mine windowsul e cu licenta si  ca antivirus folosesc Microsoft Security Essentials. Se declansase antivirusul in momentul cand am apasat pe o aplicatie de pe FB. Cu toate astea virusul s-a instalat. Dupa ce am deschis computerul aplicand metoda asta, am scanat am sters virusii, am salvat tot ce aveam pe computer in caz de reapare. inca nu am dat restart la calculator sa vad daca mai este. succes!

Edited by SHTIRLITZ, 12 January 2013 - 13:46.

Da, MSE-ul are o intarziere la reactie - vezi ce am zis mai sus, dar il detecteaza si il rade la scanare.

Cum sta treaba cu virusu politia romana 400 lei varianta 2013 (am facut si un photo shuting)

1. Power on la calculator si tasta F8 repetat pana apare meniul "Advanced Boot Options" unde se alege (una din variante):
a. Safe Mode with Command Prompt. In command prompt scrieti explorer.exe apoi tasta Enter / daca a mers se trece la pasul 2;
b. Safe Mode (acum trebuie sa fiti rapizi) apare desktopul pentru cateva secunde deschideti repede un program (gen word unde scrieti ceva), va aparea pagina virusului nu conteaza, dati alt+ctrl+del si alegeti log off (aceasta semekerie va inchide virusul dar nu si fisierul nesalvat sau programul deschis ulterior) si va cere ca sa inchida fortat programul care l-ati deschis in prealabil,  dati cancel. In momentul de fata aveti un Windows perfec functional.

2. Urmati calea Virusului C:\Users\numeleuseruluivostru\wgsdgsdgdsgsd.exe (asta e virusu, daca nu merge sters, redenumitil cu tot cu extensie, mutatil pe desktop si ne vom ocupa mai tarziu de el) Daca nu se vede fisierul faceti asa:
a. Organize / Folder and search options / tabul view / Debifati Hide protected operating sistem files.

3. start / run / msconfig /tasta enter/ tabul startup / debifati virusul (cel scris in rusa ca in poza 1) / Ok si o sa va intrebe daca vreti sa restartati, alegeti ca nu
 1.png   33.81K   119 downloads  2.png   37.57K   101 downloads  3.png   37.79K   83 downloads

4. start / run / regedit / serch wgsdgsdgdsgsd.exe / o sa-l gasesca in startup / delete ca in poza 5
 5.png   59.32K   88 downloads

5. start / all programs / click dreapta pe start up / explore si aici stergeti "runctf" (C:\Windows\System32\rundll32.exe c:\users\bodala\wgsdgsdgdsgsd.exe,H1N1 aici duce shortcutul)
 4.png   22.72K   79 downloads

6. c:\Windows\pss stergeti folderul si c:\programdata cele 2 fisiere
 6.png   92.83K   68 downloads  7.png   138.45K   52 downloads

restart si instalati diverse programe antivirus dupa bunul plac

Bodala, on 12 ianuarie 2013 - 21:34, said:

Ceva foarte util. Apreciez ce ai facut!

Unde gasiti acest virus:

Una din variante:
C:\Users\home\AppData\Roaming\_gzysxapmk.exe
C:\Users\home\AppData\Local\_gzysxapmk.exe
C:\Users\All Users\_gzysxapmk.exe
Alta varianta:
C:\Users\X\AppData\Roaming\nzqwwnh_.exe (ADOSoft Int.)
C:\Users\X\AppData\Local\nzqwwnh_.exe (ADOSoft Int.)
C:\Users\All Users\nzqwwnh_.exe (ADOSoft Int.)
Sau asa:
C:\Documents and Settings\Administrator\wgsdgsdgdsgsd.exe (Корпорация Майкрософт)
C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Application Data\dsgsdgdsgdsgw.js
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\runctf.lnk
Se pare ca asta e ultima varianta, cea descrisa de  eiffel aici. (Корпорация Майкрософт)(Corporatia Microsoft)

Varianta pe care am testat-o eu, a dezactivat tot ce tine de Safe Mode.

LE: @eiffel, sau care are ultima varianta, rog PM, sa o urc si la MBAM (asta daca nu ati trimis-o la analiza).
  Stima.

Edited by MhG_40, 12 January 2013 - 22:46.

Salut!
Referitor la topicul deschis aici: http://forum.softped...ce-recomandati/
...mi-am dat seama ca doar stergand manual "wgsdgsd..." si "runctf..." (varianta in engleza, cea din clipul atasat in postul initial) si scanand cu Malwarebytes, nu e suficient... pentru ca problema a reaparut, dar de aceasta data cu varianta in romana (cea cu Politia Romana).
Nu am mai folosit Malwarebytes, insa am rulat Kaspersky Virus Removal Tool (gasind ceva pe acolo), dar cred ca nu era suficient din moment ce ComboFix (rulat dupa) mai gasise "ramasite".
Sunt mai bine de 24 de ore de cand nu a mai aparut nimic.
Sper sa fie de folos!

Edited by master-of-puppets, 13 January 2013 - 00:35.

Puteti folosi si Microsoft Safety Scanner ptr indepartare. Foloseste definitiile din MSE/Defender, deci il vede.

Si vedeti ca prima versiune intalnita de mine era wgsdgsdgdsgsd.dll, intrarea din registrii avea si intrarea in dll marcata.

MhG - ai PM.

eu l-am scos cu safemode+msconfig (aparea si in safe mode dar am reusit in 2,3 sec , dupa boot ,sa il debifez din startup la msconfig)
dupa care am rulat un eset online scanner

alta metoda (boot CD; Mini WinXP) ... stergi virusul
+o scanare antivirus ...

rezolvat

intrebare : cum dracu apare acest virus ?
eu navigam pe net (firefox 17) ; eram pe un site de accesorii GSM (unul cunoscut) ...

Edited by mihaipopm8, 13 January 2013 - 12:17.