cabezera informaticaprat

Vuelve el virus de la policia

cuerpo nacional policiaParece ser que desde hace unos días venimos obserbando que reaparece el famoso virus conocido como "virus de la policia ". Sigue siendo el mismo tipo de troyano lo que en esta ocasión nos complica un poco más su eliminación.

No haciendonos responsables  de los usos indebidos en el registro o las consecuencias que pudiera provocar en el sistema las modificaciones del mismo.Dicho esto paso a explicar los casos que recientemente hemos encontrado y la forma en que han sido solucionadas. 

 

Este troyano nos secuestra el ordenador, pero además lo hace literalmente, cuando iniciamos el equipo nos aparece la pantalla ocupada con un mensaje de la policia, en el que se nos acusa de una larga lista de operaciones ilicitas por las cuales se nos pide el pago de una multa de cien euros.

Parece muy veraz de echo nos muestra la dirección IP desde la que ha sido registrado la actividad  ilegal que casualmente coincide con la nuestra y en algunas versiones de este troyano incluso nos toma la webcam para hacernos aparecer en pantalla.

El proceso que sigue el troyano a la hora de colocarse en nuestro equipo se repite al igual que en su versión anterior.Modifica la rama del regristro en el momento de la ejecución del explorarador. El explorador al iniciarse en el sistema tiene como función llenar nuestro escritorio, y lo que hace este troyano es añadir una nuevo valor alfanumérico  en el registro dentro de las claves de winlogon.

Equipo\HKEY_CURRENT_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Y Desde este valor se hace la llamada a una nueva directiva llamada Shell, donde se coloca la ruta al troyano.
Pues en la nueva versión además añade una nueva directiz en:

Equipo\HKEY_LOCAL_MACHINE_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Desde este valor se modifica la directriz del valor shell "explorer.exe" por "explorer. exe troyano.exe".

Dejándonos de tecnicismos vayamos a la forma de poder eliminarlo puesto que nuestro equipo está totalmente inaccesible. 

Deberemos apagar el ordenador, para ello mantendremos pulsado el botón de encendido durante unos segundos hasta que se apaga.

Volveremos a encenderlo con la tecla F8 pulsada, debemos mantenerla pulsada hasta que nos ofrezca un menu de inicio del sistema.

Una vez aqui nos desplazaremos hasta la opción "Modo seguro con funciones de Red".

Una vez iniciado el equipo ejecutamos el comando "regedit" y desde aquí eliminamos los valores del registro que he explicado antes. 

  • Equipo\HKEY_LOCAL_MACHINE_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

En el valor Shell eliminaremos lo que esté a continuación de explorer.exe

  • Equipo\HKEY_CURRENT_USERS\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Eliminaremos el valor Shell.

Realizados estos pasos reiniciamos el Equipo y listo.

Hemos de ir con mucho cuidado a la hora de modificar valores del registro, recomiendo antes de empezar hacer una copia del mismo."Por si acaso" 

 

 

facebook twitter    google    instagram   youtube