1. Obnovení systému

Této infiltrace vznikají desítky různých mutací každý den, nenechte se tedy mýlit stejným vzhledem viru,
jeho zdrojový kód je pokaždé jiný. Bohužel je možné, že se uživatel nakazí virem, ještě než se jeho vzorky dostanou k nám do virové laboratoře a jsou zaneseny do virových definic.

Při startu PC, jakmile zmizí úvodní informace BIOS (obvykle logo výrobce PC či základní desky), je potřeba mačkat klávesu F8. Zobrazí se nabídka, ve které vyberte Nouzový režim s příkazovým řádkem. Dále rozhoduje verze Vašeho operačního systému.

Ve Windows 7 postupujte následovně:

V příkazovém řádku napište příkaz: rstrui.exe (tento příkaz spustí nástroj pro Obnovení systému).

Vyberte vhodný bod obnovení, ideálně tak týden nazpět.

 

Ve Windows Vista je postup podobný jako pro Windows 7:

Pomocí příkazu cd se přepněte do umístění C:\Windows\System32\ , napište rstrui.exe a potvrďte klávesou Enter.

Vyberte vhodný Bod obnovení, ideálně tak týden nazpět.

 

Ve Windows XP je postup tento:

V příkazovém řádku zadejte C:\Windows\system32\Restore\rstrui.exe a stiskněte klávesu ENTER.

Tento příkaz spustí rovněž nástroj pro Obnovení systému. Vyberte vhodný bod obnovení, ideálně tak týden nazpět.

 

2. ESET Online Scanner

V Nouzovém režimu s režimem v síti spusťte ESET Online Scanner a proveďte kontrolu počítače.

Produkt naleznete volně ke stažení na www.eset.com/cz/domacnosti/produkty/online-scanner/

 

ESET Online Scanner

 

3. Odstranění z registrů

V Nouzovém režimu otevřete Editor registru – v nabídce Start napište regedit a stiskněte Enter. Ve Windows XP klikněte na Spustit a zde rovněž regedit.

Zde dejte vyhledat řetězec (CTRL+F) command processor. Hledejte hodnotu Autorun, která odkazuje na cestu k nějakému souboru – často C:\Users\Uživatelsý účet\AppData\Local\Temp. Hledat další záznam nyní můžete stiskem klávesy F3. Tuto hodnotu odstraňte a s ní i soubor v umístění, které zde bude vypsané.

 

 

Pokud se místo Exploreru při přihlášení spouští příkazový řádek, je potřeba přepsat hodnotu Shell ve větvi HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon podle níže uvedeného obrázku nebo ji úplně odstranit Toto platí pouze v případě, že jste přihlášeni pod napadeným uživatelským účtem.

Poznámka: Výchozí nezměněná hodnota Shell v HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon by měla být explorer.exe a ta se standardně používá pro všechny uživatelské profily.

 

 

4. SysRescueCD

V posledních mutacích viru dochází k tomu, že při načítání Nouzového režimu je počítač neustále restartován. V tom případě přichází na řadu manuální odstranění – buďto připojit harddisk k jinému PC, nebo použít ESET SysRescueCD, případně nějaké LiveCD Linuxu.

 

Ve Windows 7 v umístění C:\Users\Uživatelský účet\AppData\Local\Temp najděte soubor s prapodivným názvem typu 645436414059299.exe, wgswgsdgsdsgsd.exe a podobně a tento soubor odstraňte.

Zaváděcí soubor viru se obvykle nachází v umístění:

C:\Users\Uživatelský_účet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.ink 

C:\Users\Uživatelský účet\AppData\Roaming\runctf.ink 

C:\Users\Uživatelský účet\AppData\Roaming\altShell.dat 

 

Ve WindowsXP se virus nachází obvykle v těchto cestách:

C:\Documents and Settings\Uživatelský účet
C:\Documents and Settings\Uživatelský účet\Local Settings\Temp

C:\Documents and Settings\Uživatelský účet\Nabídka Start\Programy\Po spuštění\runctf.ink

C:\WINDOWS\Prefetch

C:\Documents and Settings\uzivatel\Data aplikací\AltShell.dat

 

Cesty a názvy viru se mohou lišit v závislosti na konkrétní mutaci. Často proniká díky neaktuálnímu operačnímu systému, zranitelnosti v technologii Java, Adobe Reader, Adobe Flash Player atp. Dbejte tedy prosím na prevenci a minimalizujte riziko použitím posledních verzí programů a jednotlivých doplňků. Doufáme, že vám byly tyto rady nápomocny a virus se podařilo odstranit.

Vice…

http://www.viry.cz/likvidace-fotografii-dokumentu-aneb-novy-policejni-virus-na-scene/