martes, 28 de febrero de 2012

Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)


Desde hace unas semanas veníamos observando que las visitas y comentarios en una noticia sobre un troyano de junio de 2011, aumentaban. Los usuarios buscaban información en Google, acababan en el artículo, y preguntaban. Las menciones en medios generalistas lo confirmaban: el troyano se pone de moda y afecta a muchos usuarios. Veamos cómo protegerse de verdad.

ACTUALIZACIÓN: La herramienta WinLockLless de Hispasec ayuda a prevenir el bloqueo.

En junio de 2011 publicábamos esta noticia: "Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico". Incluía un vídeo demostración del troyano. Bloqueaba el sistema con la siguiente excusa:

En nombre de la policía nacional, le acusa de: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: "Pagan una multa policialfalsa por ver porno en sus ordenadores"

Resulta cuando menos curioso que casi nueve meses después de ser "descubierto", el troyano protagonice titulares en medios generalistas, y la infección llegue a tantos usuarios. Sobre todo, porque no es especialmente sofisticado. Incluso, es bastante detectado por los sistemas antivirus, y no existen demasiadas variantes en nuestra bases de datos (o sea, que parece ser que viene siendo exactamente el mismo fichero que en junio de 2011 el que está infectando a tanta gente).

Cómo protegerse

Puesto que estamos recibiendo numerosas consultas sobre el asunto, vamos a ofrecer una solución real contra este y cualquier otro tipo de troyano parecido que aparezca en el futuro. Por supuesto, la prevención pasa por evitar ejecutar archivos desconocidos, y actualizar el software para que no contenga vulnerabilidades. Si aun así, no nos fiamos de nosotros mismos, la buena noticia es que es posible impedir que este, y todos los troyanos que estén por venir y se comporten igual, consigan secuestrar nuestro sistema.

El proceso que sigue el troyano para secuestrar el ordenador es modificar un par de ramas del registro. La misma que lanza "explorer.exe" cuando se arranca el sistema. Explorer.exe es el proceso que se encarga de "pintar" el escritorio: los iconos y la barra de herramientas y de sistema. Existen al menos dos lugares en el registro donde es posible lanzar lo que Windows llama una "shell" (explorer.exe): uno específico para el usuario, y otro para el sistema completo.

Simplemente, hay que restringir los permisos e impedir que podamos modificar esas ramas. Para el uso cotidiano del sistema, no es necesario disfrutar de los privilegios de modificación de esas ramas. Una vez más, la solución más efectiva no está en los antivirus, sino en las herramientas integradas del propio Windows.

En XP, la rama del registro que modifica es:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Añadiendo en la directiva "shell", el nombre del troyano, por ejemplo:

Shell=Explorer.exe, troyano.exe

Así se lanzan los dos cuando se inicia el sistema. Si, con el botón derecho, eliminamos los permisos de escritura en esa rama para los administradores, nos estaremos protegiendo. Cuidado: si se elimina el permiso a SYSTEM, el sistema quedará inestable. Sólo hay que eliminar el permiso de escritura a los administradores, nada más.

En Windows Vista y 7 tiene un comportamiento diferente (del que parece que muy pocos medios han hablado). El troyano modifica otra rama específica del usuario.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Aquí crea otra directiva llamada shell, con la ruta del troyano.


En esta rama tienen permiso de escritura los administradores y usuarios por defecto. Pero normalmente no es un permiso necesario (a no ser que un software legítimo necesite modificarlos), así que en principio no hay ningún problema en quitárselos.

Para eliminar los permisos de las ramas del registro, primero hay que "desheredar" los permisos de las ramas superiores, eliminando la casilla "Incluir todos los permisos heredables del objeto primario de este objeto", y copiándolos.


Luego eliminamos los permisos de escritura, para administradores y usuarios.


Si se quiere ser más específico, se puede eliminar solamente el permiso de "Crear subclave".


Con este cambio, el troyano mostrará su mensaje cuando nos infectemos, pero no podrá perpetuarlo en el arranque, con lo que la infección no se repetirá en el siguiente reinicio. Por supuesto, no nos responsabilizamos de cualquier uso indebido del registro, o consecuencias indeseadas en el sistema a causa de esta modificación.

Más información:

Máxima seguridad en Windows
http://unaaldia.hispasec.com/2011/09/libro-seguridad-en-windows-secretos.html

Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional
acusando al usuario de terrorista zoofílico

Una estafa informática te acusa de descargar pornografía y exige 100
euros para solucionarlo

"Pagan una multa policial falsa por ver porno en sus ordenadores"




Sergio de los Santos
Twitter: @ssantosv


71 comentarios:

  1. ¿Y no es más sencillo usar un usuario sin permisos de administrador? Es verdad que no evitaríamos la infección, pero por lo menos afectaría únicamente al usuario desde el que se ha infectado el equipo... Solo habría que entrar con un usuario con permisos de administrador y eliminar el troyano con malwarebytes sin mayores problemas.

    Vuestra solución propuesta ¿afectaría al instalar posteriormente algún programa que requiera autoiniciarse con Windows? Gracias

    ResponderEliminar
    Respuestas
    1. ¿Sabeis cómo se solucionaría?. Teniendo un sistema opetarivo libre como GNU/Linux, Ubuntu. Éste sistema operativo trata todo documento, dispositivo periférico (teclado, impresora,...) como un fichero, con lo cual trata los virus como tal y lo podemos eliminar simplemente con "suprimir". Decir que Ubuntu no puede contener virus, con lo que lo hace muy seguro, y eficiente.

      Eliminar
    2. Tu comentario no puede ser más falaz. Sí hay troyanos para sistemas operativos libres. Tu comentario está basado en la falacia de que por ser linux no le afecta el malware. ESO ES FALSO y hay que terminar con esa creencia pues lo único que crea es una falsa sensación de seguridad.

      Eliminar
  2. En Windows 7 y Vista, como indica el artículo, infecta con permisos de usuario. Si se tiene previamente definido un administrador en el sistema, sí, se puede eliminar desde esa otra cuenta (se indica en el artículo de junio). El problema es que no es lo habitual.

    No, los programas no suelen necesitar esa rama del registro.

    ResponderEliminar
    Respuestas
    1. para eliminarlo tan solo ai que ejecutar en modo seguro y rapidamenteeeeeeeeeeeeeeeeeeeeeee es en menos de 10 minutos tan solo restaura sistema y ni pierdes datos y por supuesto eliminamos el problema de rais de NO HACE FALTA FORMATEAR.respecto al hijo de perra chino que le a ocurrido atacar desde asia a america latina pero sobre todo a mi ESPAÑA que se prepare AI REGALOS PARA TODA ASIA papa noel viene esta semanasanta asique los que sean buenos jejeje tendran su regalo

      Eliminar
    2. con dos cojones me alegra tu decicion un saludo

      Eliminar
    3. Ha mutado y no deja arrancar en modo seguno, ni entrar en administrador de tareas. LLevo tres días intentando quitarlo y no hay mandera. De momento estoy probando con Dr. Web, pero tardará el escaneo, tengo tela de archivos.

      Eliminar
    4. Yo he podido limpiarlo hace un rato con el disco de rescate de karpersky

      Eliminar
  3. pero este método no nos vale hasta que no estemos infectados, porque no podemos saber en qué ruta se guardará el archivo infectado.

    No hay otra forma de evitar la infección?

    ResponderEliminar
  4. @josehsm, no al contrario. El método sirve para prevenir. No es necesario saber la ruta del archivo. La imagen lo muestra sólo como ejemplo.

    ResponderEliminar
  5. Me parece muy útil esta información.

    trabajo en una tienda de reparación de equipos, el método para quitarlo que utilizamos es una pasada con un antivirus, antimalware y spyware aparte de echarle un ojo al msconfig.

    Todos los equipos que he visto tenían en historial paginas porno (está muy claro jeje).

    ResponderEliminar
  6. holaa

    hay que informarse como primera medida y no mandarle a esta gente Ukash o Paysafecard. Ya hay mucha gente que ha pagado... Que ganas de molestar que tienen los que hacen troyanos. Porque no se buscaran un trabajo honesto!
    salu2

    ResponderEliminar
    Respuestas
    1. Mientras que están haciendo troyanos por lo menos no se meten en politica :P

      Eliminar
  7. Alguien sabe que vulnerabilidad explota? Lo digo pq no es necesario para la infección que el usuario ejecute algún programa....

    ResponderEliminar
    Respuestas
    1. Pues yo he leído y ya lo había pensado que usa alguna vulnerabilidad de Flash Player... ¿Alguiene tiene alguna muestra del virus?

      Eliminar
    2. A mi me empezó porque el flahsplayer no paraba de queres que instalara una nueva versión, yo venga anular para dejarlo para más tarde, pero al final le di a acptar como siempre y a partir de ahi se instaló el maldito

      Eliminar
  8. yo uso el malwarebytes en modo seguro y funciona perfecto,

    es menos lioso,
    gracias por la info.

    ResponderEliminar
  9. Buenos dias a todos, hola Segio, Gracias por la información, mi duda es:
    afecta a los equipo de españa y sus alrededores o tambien a paises de america
    latina, esto para no arriesgarnos a tocas nuestro regedit.exe
    Gracias.

    ResponderEliminar
  10. @Arnoldo Garcia. No hace distinción en ese aspecto. Otra cosa es que suela distribuirse desde páginas quizás más visitadas por españoles... pero técnicamente no distingue.

    ResponderEliminar
  11. gracias por la informacion, yo tengo Avast de Antivirus, pero lo amplio por lo que los antivirus no descubren los troyanos o los rootkit, con otros dos programas Spybot o Sophos.

    ResponderEliminar
  12. A mi me entró ayer jugando al Angry Birds ( se ve que matar cerdos con pájaros se considera zoofilia) me e pegado unas cuantas horas buscando la solución... y al final lo de siempre un F8 bien plantando cuando reiniciamos el ordenador y hacer puñetas el troyano.

    (sigo jugando al Angry Birds xD) el vicio es el vicio.

    ResponderEliminar
  13. para el windows 7 tambien me va la solucion de F8? gracias

    ResponderEliminar
  14. A nosotros nos ha entrado en una cuenta sin privilegios. Sólo en una. Con F8 y entrando como admin lo he quitado dos veces ya, pero al entrar en la cuenta infectada vuelve a aparecer. De momento la solución ha sido crear otra cuenta y desde admin mover la info de la una a la otra.
    También crea una carpeta llamada Kodak con un archivo de texto y la foto del
    pantallazo.
    Mientras lo solucionamos qjjgmmp del paso.

    ¿55

    ResponderEliminar
  15. Vete a un informático que te rescate datos y reinstale de nuevo el S.O. Te sale mas barato y sirve de penitencia.

    ResponderEliminar
  16. Yo para solucionarlo restaure el equipo a un un punto de restauracion anterior y de momento me funciona perfectamenete.

    Para llegar al escritorio y poder ejecutar el restaurador, force el cierre del sistema (ctrl+alt+supr, opcion cierre del sistema) en window 7 si tienes muchos programas abiertos te saldra un mensaje para donde te da la opcion de forzar el apagado, seguir su curso o cancelar. Cancelas y te deja en el escritorio con algunos de los programas aun abierto pero el virus es el primer programa que cierra.

    Ejecutas un restaurador y en principio deberia ir bien. No soy informaico pero creo que funciona aceptablemente bien y de momento no he tenido que reintalar el S.O.

    Saludos.

    PD: Tuve que apagar y encender el Pc varias veces y abrir varios archivos, carpetas y programas rapidemente hasta que me dejo hacer lo que arriba pongo, pues se ejecuta rapidamente y apenas da tiempo de hacer nada.

    ResponderEliminar
  17. Yo lo elimino entrando en modo seguro, después inabilito el antivirus del equipo cerrando sus procesos y posteriormente ejecuto ComboFix.
    Otra alternativa que también funciona es restaurar el sistema a un estado anterior a la infección i posteriormente ejecutar ComboFix.
    Saludos i suerte.

    ResponderEliminar
  18. Buenos dias. Ayer domingo mi equipo se infectó con este virus. El equipo está bloqueado por lo que no veo como desinfectarlo. ¿alguien me puede explicar que debo hacer para poder eliminar dicho vitus? No soy ningún experto en informática por lo que necesito los pasos muy bien definidos. Gracias

    ResponderEliminar
  19. Hola. Entiendo que para XP "eliminar los permisos de escritura" es quitar el permiso "Actualizar valor". ¿Es correcto? Gracias.

    ResponderEliminar
  20. La verdad que prefiero gastarme mis paysafecard en otras cosas. ;-) Saludos

    ResponderEliminar
  21. Respuestas
    1. Antes de que aparezca la pantalla de inicio de Windows mantén pulsada la tecla F8 y te permitirá acceder a varios modos de inicio, entre ellos el modo seguro, útil para solucionar este tema en algunos casos, pero hay variantes de este virus que bloquean el arranque en modo seguro...

      Suerte

      Eliminar
  22. Uno de esos troyanos, está en algunas pagina de cine online, es muy fácil quitarlo , si reinicias el equipo, te vuelve a aparecer dicha pagina de la policía no puedes controlar tu pc, lo que tienes que hacer es, desenchufar la corriente que alimenta el pc,ya a forzado el apagado, lo vuelve a encender el pc y elige la opción de modo seguro con símbolo de sistema , y en cuadro que te sale ponéis rstrui.exe y ya te sale restaurar sistema, yo lo he hecho en Windows vista y 7

    ResponderEliminar
  23. Tomás Baiget F8 es una tecla en la parte superior del teclado (f1, f2, f3, etc)

    ResponderEliminar
  24. Atentos porque parece que ha aparecido otra variante del bicho, la pantalla que muestra es diferente aunque con el exto muy parecido, y ahora bloquea el modo seguro, lo que dificulta la eliminación. Me lo encontre en un ordenador que me trajeron para reparar, y despues de varios intentos consegui eliminarlo con un disco de rescate de Kaspersky.

    ResponderEliminar
  25. Me informaron de esta noticia tarde, pero os comento. En mi caso el usuario infectado no tenia privilegios, para poder eliminarlo, tuve que entrar en modo seguro con simbolo de sistema. Con un usuario administrador, no consegui eliminarlo. Tuve que dar permisos al usuario en cuestion. Una vez hecho esto, entrando en modo seguro con simbolo de sistema, ejecute combofix, y un "polifix.exe" obtenido de otra web. Con esto consegui eliminar archivos infectados del perfil de usuario. Revise registro y no parecia existir rastro. Al reingresar en modo normal veo que no se ha solucionado. Entro en modo seguro con funciones de red, con malwarebytes, detecte esto:

    C:\documents & settings\usuario\local settings\msdudbmna.com
    con referencia en la ruta de registro:
    HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

    Hombre, si el SO. esta en castellano, esa ruta del perfil no debería existir... tras calzarme esto. Con una carga de usuario normal, ya sin permisos, el problema parece solucionado.

    La parte de prevencion, me servira apartir de ahora.

    Muchas gracias a todos. Saludos

    ResponderEliminar
  26. Tengo una modalidad de virus que(mi sistema es un XP):
    -no permite iniciar en modo seguro
    -no permite iniciar simbolo del sistema
    -Puedo arrancar el ordenador en la ultima configuracion(pero sin privilegios de administrador aunque mi cuenta los tenia). Esto solo si no estoy conectado a internet. Cuando me conecto aparece la pantalla bloqueandome.
    -Los codigos 1029384756 y QRT5T5FJQE53BGXT9HHJW53YT no funcionan.
    -Con la pantalla bloqueando el ordenador no puedo utilizar Tabulador+Alt
    -Iniciando como me permite no puedo acceder al registro ni a los puntos de reinicio, ni nada util.

    Les agradeceria si pudieran ayudarme.

    Gracias

    ResponderEliminar
    Respuestas
    1. A mi me pareció el dia 30 la variante (en XP) que no te permite entrar en ningún modo seguro y que además me había secuestrado todas las cuentas de usuario.
      Lo he conseguido quitar mediante el Kaspersky recue disk que trae también un editor del registro de windows. El virus aparecía en
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
      en la cadena userinit junto con userinit.exe en el direcctorio
      c:\WINDOWS\system32\1526DD7E64BD98C8182E.exe
      Una vez eliminado el virus desapareció. No se si el kaspersky lo hubiera reconocido.

      Eliminar
  27. A mi me bloqea el pc, al conectar el wireless, es decir cuando intenta conectarse a una red internet.Le realiza el scaneo con el malewarebytes Anti-malware, detecta un troyano y el mensaje es>
    Valores del Registro Detectados: 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|2463 (Trojan.Downloader.Gen) -> datos: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif -> Se eliminarán al reiniciar.
    Elimino el troyano y reinicio, pero, Sorpresa, el troyano sigue ahi.
    He buscado este registro y no lo encuentro ni se cual es su registro autentico.
    Alguna idea por favor

    ResponderEliminar
    Respuestas
    1. tienes que acceder al progrma restaurar sistema y volver a un punto de algun dia anterior a la infeccion.

      Eliminar
  28. Aqui teneis algo que funciona con la version mas jodida del virus.
    A mi no me hizo falta quitarlo manualmente, el antivirus del DR.Web lo elimino.
    Son 30 mints+tiempo analisis y listo.
    Todo gratis.

    http://laenzima.blogspot.com.es/2012/03/eliminar-en-nuevo-virus-de-la-policia.html

    ResponderEliminar
    Respuestas
    1. Aunque lo desinfecte con el Dr.web tambien le pase el avira por si acaso.
      Tanto Dr.Web como Avira los puedes cargar en un CD o un pendrive. Arrancar el ordenador desde el CD/pendrive y pasar el antivirus incorporado.
      En el Dr.Web tambien dispnes de un "explorador" para poder eliminar manualmente los que necesites.

      Eliminar
  29. me acaban de infectar otro portatil,con sistema vista alguien me puede decir todos los pasos que hay que seguir para quitar el troyano porfavor

    ResponderEliminar
    Respuestas
    1. El Dr.Web te lo soluciona y creo que el Avira tambien.
      Yo lo hice con el DR.Web, arrancas el ordenador con un CD con el Dr.Web. Luego le pasas el antivirus que viene y listo.
      Te dejo el enlace donde te explica el tema clarito.
      http://www.theenz.com/t54634p15-virus-de-la-policia-nacional
      Aunque dicen que el antivirus no lo dectecta a mi si me lo soluciono(imagino que esta mas actualizado)

      Eliminar
  30. usar el malwarebytes paso a paso explicado
    tutorial paso a paso

    ResponderEliminar
  31. hola !!! ( lo siento para los errores, estoy de quebec) Eso me ha pasado hoy, si puedo dar un consejo, he utilizado un programa que se llama Malwarebytes, es gratuito en internet y es muy util para eliminar estos tipos de "virus". Ha functionado para mi !!!

    ResponderEliminar
  32. El virus se rie de este método. lo acabamos de comprobar. Para recuperar el sistemasimplemente habiamos puesto un acceso directo a "restaurar sistema" en la parte inferiror del escritorio (no en la barra de tareas, en el escritorio) y cuando se ha infectado el ordenador hemos desenchufado el cable de red para que el virus no funcione del todo bien.

    No pruben infectarse de manera premeditada si no tienen conocimientos de informatica.

    ResponderEliminar
    Respuestas
    1. Esto anterior se refiere a Windows 7

      Eliminar
  33. Los culpables siguen impunes? No hay nadie que haga nada?
    A mi me ha aparecido varias veces.

    ResponderEliminar
    Respuestas
    1. Si te ha aparecido varias veces, el culpable eres tú por no actualizar el software de tu equipo.

      Eliminar
  34. El problema es que lleva meses dando vueltas el elemento. Y ya que lo comentas, te equivocas, sí que lo actualizo.

    ResponderEliminar
  35. A mi me ha entrado el virus ese teniendo todo actualizado, asi que por eso no es, pero siempre sera mejor.

    El estafador es el que lo envia jrm, y el usuario es la victima.

    ResponderEliminar
  36. Hola!
    Ayer me bloquearon de nuevo, esta vez con un aviso distinto a los conocidos.
    Después de estar un día entero haciendo casi todo lo que leí en los foros, incluyendo los discos de rescate de Kaspersky y Avira, lo pude solucionar eliminando (en modo seguro) unos archivos sospechosos que vi en los programas de Inicio, y que son los siguientes:
    Zxszmcardqarcuc
    Zxszmcardqarcucknbir.exe
    Están ubicados en C\Windows y en C\ProgramData
    Aproveché para eliminar otros que aparecían como “Desconocidos”.
    Una vez eliminados, reinicié, entré normal y ya había desaparecido el puñetero aviso.
    Hice limpieza con CCleanner y pasé mi antivirus. Reinicié de nuevo y creé un punto de restauración por si el problemita se reproduce.
    Espero haber sido útil.
    Saluditos canariones.

    ResponderEliminar
  37. Hola,uso el windows 7 y la semana pasada me infecté con este dichoso virus. Entré en modo seguro con funciones de red, y analicé con el eset nod32 online y me lo eliminó enseguida. Luego reinicias y listo, ni rastro de virus.
    Espero que os sirva.

    ResponderEliminar
  38. Hola. Hoy 28-junio-2012 me ha aparecido el virus.
    He reiniciado en modo seguro (F8) y he descargado la versión gratuita del 'malwarebytes'.
    La he pasado y reiniciado y me ha desaparecido el "aviso policial", pero ahora me va el sistema súper lento.
    En este momento vuelvo a pasarle el 'malwarebytes' y el 'microsoft security essential', a ver qué pasa, y aprovecharé para guardarme en CDs mis carpetas con archivos, por si acaso.

    ResponderEliminar
  39. A mi me paso esto pero segun enciendo el ordenador ya me sale lo de la multa y no se como hacer ahora para solucionar esto...alguin me podria ayudar???? Muchas gracias.

    ResponderEliminar
  40. Soy el que escribi ayer...ya fui capaz de quitar el virus,pulsando f8,entrando luego en internet y bajandome el anti-virus Avast!!! que es gratis!!! suerte a todos!!!.

    ResponderEliminar
  41. Hola
    Tengo Windows Xp. Me he infectado con una variente nueva, al menos no es la que he leido en otros foros. El ordenador solo se queda bloquedo con la imagen del supuesto aviso policial cuando se conecta a internet. Lo averigué al apagar el equipo y desenchufar el cable de la fibra optica antes de encenderlo de nuevo. Solo vueelve a aparecer en cuanto conecto en cable de internet, si no lo hago, puedo trabajer con el equipo normalmente.
    Mi pregubta es que sipuedo acceder al equipo ¿Donde debo buscar el virus para eliminarlo? ¿Como me bajo un ativisrus en otro equipo y lo instalo en el infectado?
    Gracias.

    Vicente

    ResponderEliminar
    Respuestas
    1. Hola
      a mi me ha pasado igual y mas de una vez. La ultima pasaba el antivirus y no lo detectaba, lo pasaba en modo seguro y tampoco. El asunto es que no me dejaba actualizar el antivirus (microsoft segurity). Encendia el ordenador sin conectarme y podia trabajar sin problema pero me conectaba para actualizar el antivirus y ahi aparecia la pantalla bloqueadora. Pero esta vez la deje, no apague el ordenador con la esperanza de que tal vez aunque tuviera delante esa pantalla, el ordenador estuviera funcionando normalmente y el antivirus actualizandose. Cuando me parecio que habia pasado el tiempo suficiente, de pronto desaparecio la pantalla del virus y aparecio el escritorio pero vacio, me asuste y apague. Reinicie en modo seguro con la esperanza de que se hubiera actualizado el antivirus y... EUREKA! Prueba conseguida! pase el antivirus y marcaba que habia encontrado un "troyan:Win32/Reveton.C" y cuando termino de pasar el antivirus aparecio otro igual y un "Exploit:Java/Blacole.GD". Ahora funciona estupendamente, pero ¿hasta cuando?

      Eliminar
  42. Yo pasé el programa polifix en modo a prueba de fallos, y te lo elimina, después pasé el malwarebytes y elimina el resto.
    Por lo que he leído el virus usa como puerta de entrada el java, lo actualicé a su última versión y sigue dando problemas.
    He acabado desinstalandolo el java y loo único seguro es combinar en la navegación avast y malwarebytes.

    ResponderEliminar
    Respuestas
    1. Yo creo que me pasa como a tí. Win7
      Pasé el polifix; ahora estoy con malwarebytes, pero ha tardado como 1 hora en instalarse la actualización de java en un i3 con 8gb de ram (digo instalar no descargar) así que dudo mucho que sea una actualización sin sorpresas. Así que ahora mismo lo desinstalo porque no me fío nah de nah :(

      Eliminar
  43. Este virus, me ha pillado esta tarde... Por mi culpa, para ser sincero. He desconectado rapidamente el equipo. Lo he conectado nuevamente sin conexion a internet,y seguidamente he conectado el router. He usado una herramienta de la pagina de doctor web,gratuita y que no necesita de instalacion. Ha anlizado el equipo en 40 minutos y ha eliminado el gusano. Luego he usado el microsoft essentials (actualizado), examen completo. Por ahora ha eliminado completamente la amenaza y mi equipo funciona a la perfeccion,conexion y navegacion por la red incluida...

    ResponderEliminar
  44. Hola a todos. El virus me entro hoy por la mañana (W.Vista). Si no me conecto a internet no pasa nada, el ordenata no da problemas, el problema esta en estar conectado a internet. No puedo bajar malwarebytes o lo que hace falta para eliminarlo. Tampoco en modo seguro me puedo conectar. Algien tiene una idea que puedo hacer. Muchas Gracias.

    ResponderEliminar
  45. Hola, mi portatil a sufrido el ataque de la version de la policia, pero en vez de porno y zoofila, la de derechos de autor etc., No me ha sido muy complicado, aunque me ha hecho perder tiempo...Hay que forzar el cierre del ordenador, desenchufado de la red por supuesto y encenderlo de nuevo...Hay que seleccionar la opcion de "Restaurar el Sistema" (uso recomendado) y por fin ha desaparrecido la dichosa pagina...Y ahora rapidamente hay que pasarle el Malware que podeis encontrar e instalar desde la pagina de la Policia Nacional, mediante un enlace (facilitado desde la pestaña de la seccion de alertas tecnologicas) de dicha pagina...Espero haber servido de ayuda...Un saludo

    ResponderEliminar
  46. Por cierto, tampoco esta de mas que os acerqueis por la comisaria para Denunciar este hecho...y por supuesto que a nadie se le ocurra realizar ni un solo pago...Un saludo!!

    ResponderEliminar
  47. www.softzone.es
    centurion12

    Entra en modo seguro F8, escoge la opción (modo seguro símbolo de sistema) cuando entre, teclea RSTRUI y espera unos minutos a que salga la consola de reparar sistema, escoge un punto anterior al día que has sido infectado y cuando termine podrás entrar y estarás desinfectado, después instala un buen antivirus por ejemplo avast free y el todopoderoso malwarebytes

    Sakudos..

    ResponderEliminar
  48. Hola a todos, no den mas vueltas, hay dos maneras pera sacarlo, una es en modo a prueba de fallos y la otra en modo normal, ambas con el PoliFix by @InfoSpyware. Pueden leer los tutoriales en el foro de forospyware: http://www.forospyware.com/t396703.html
    Y por favor no tomen el hecho de que les deje la direccion como Spam, siplemente intengo ayudar, ya que son muchas las personas que son sorprendidas con este bicharraco!
    Ademas como la mayoria sabe, el forospyware es un material de consulta a nivel internacional y muy destacado por su seriedad, y ademas es gratis!
    Bueno espero haberles sido de utilidad! Atte. Jacinto desde Mar del Plata Argentina

    ResponderEliminar
  49. Hola: me acaba de entrar un nuevo virus que ademas del consabido mensaje de la policia, me ha hecho una foto utilizando la camara Web de mi portatil. Sabeis si el método de eliminarlo es el mismo? Gracias.

    ResponderEliminar
  50. Hoy me ha atacado pero nose ni como le he solucionado (de momento no veo actividad del virus) el caso es que me sale el tipico mensaje de la multa falsa y hago lo siguiente:

    -segun me salio el mensaje me sonaba la historia de la multa falsa (es la primera vez que veo este virus) y desenchufe el cable de internet, es decir la lo torre encendida pero sin internet y no me dejaba cerrar el mozilla, al final lo cerre con el administrador de tareas

    -pongo el nod32 en marcha con analisis profundo y completo y no detecto nada despues de 3 analisis

    -al abrir el mozilla intenta acceder a la pagina del virus que sale en la barra de direcciones para mostrar el mensaje del virus pero da error porque no hay conexión a internet. Cierro y abro varias veces y lo mismo

    -vuelvo a abrir y limpio el historial de las ultimas 4horas eliminando todas las opciones a elegir pero solo de las ultimas 4h, cierro y abro el mozilla y ahora ya intentaba acceder a la pagina principal de siempre (www.google.es es la que tengo yo)

    -apago y enciendo la torre y conecto internet y todo va bien de momento, espero que siga asi pa siempre jejeje

    espero que os sirva esto, a mi de momento si, no he tenido que hacer nada ni en modo seguro ni hacer una recuperación a un estado anterior.

    Un saludo

    ResponderEliminar
  51. Es mas sencillo que todo eso basta con restaurar el sistema a un punto anterior a la aparición del virus.

    ResponderEliminar
  52. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  53. Este comentario ha sido eliminado por el autor.

    ResponderEliminar