1. Logowanie Autorów
  2. Akademia Autorów

Jak usunąć pseudowirus "Ten komputer został zablokowany"?

Surfowałem po necie, jak co dzień. Nagle na ekranie pojawił się komunikat wielkimi czerwonymi literami "Ten komputer został zablokowany" i rzeczywiście klawiatura odmawia współpracy, mysz pozwala jedynie na wprowadzenie z ekranowej klawiatury kodu, który mogę otrzymać jeśli wpłacę "karę" na wskazane konto w wys. 500 zł. System automatycznej kontroli informacyjnej wydaje się być autentyczny. Ale bez paniki, to tylko pseudo-wirus.

  • oceń poradę (0):
  • regedit.exe
  • Total Comander lub Eksplorator Windows (mój komputer).
1
Ten komputer został zablokowany. Ten komputer został zablokowany.

Rzeczony pseudo-wirus blokujący w imieniu ustawy z dnia 02.01.2012 r. komputer, to pułapka na wystraszonych internautów. Oprogramowanie usiłuje wyłudzić wpłatę na konto w systemie Ukash na kwotę 500 zł w zamian za kod odblokowujący.
Nie ma najmniejszego powodu, żeby ulec panice. Mamy do czynienia z programem windowsowym blokującym dostęp do pulpitu, klawiatury i uruchomiającym się przy każdym wczytaniu rejestru systemowego, czyli restarcie systemu. Niestety pochodzenie pliku i szczegółowy sposób infekcji nie jest mi znany.


2
Ekran Ekran

Ten wirus to po prostu plik typu .exe, konkretnie "cgzoytla.exe", który umieszcza się podczas infekcji z sieci w katalogu - "C:\Documents and Settings\All Users\Dane aplikacji", który normalnie jest ukryty.
W trakcie zakażenia wirus modyfikuje rejestr systemowy tworząc klucz. "cgzoytlaearsaei" typu REG_SZ o wartości "C:\Documents and Settings\All Users\Dane aplikacji\cgzoytla.exe", czyli polecenie uruchomienia programu przy starcie systemu lub odczytaniu rejestru.


3

Należy komputer uruchomić w trybie awaryjnym patrz artykuł "Jak uruchomić tryb awaryjny Windows XP (klawiatura PS/2) ?". Dotrzeć do Eksploratora Windows np, przez Mój komputer lub Total Comandera i włączyć wyświetlanie ukrytych plików i katalogów.
Z katalogu "C:\Documents and Settings\All Users\Dane aplikacji" usunąć plik "cgzoytla.exe" .
Uruchomić program regedit.exe z linii poleceń Uruchom i odnaleźć w rejestrze sekcje:
Mój komputer ->HKEY_LOCAL_MASHINE -> SOFTWARE ->Microsoft ->Windows ->CurrentVersion ->Run

W tej gałęzi znajdziemy klucz "cgzoytlaearsaei" typu REG_SZ i jego wartości "C:\Documents and Settings\All Users\Dane aplikacji\cgzoytla.exe", który należy usunąć

Po ponownym uruchomieniu systemu komputer działa poprawnie. Warto uszczelnić go aktualną wersją SpyBot'a. Warto również w przeglądarce ustawić monitorowanie uruchamiania aplikacji Java.


Przypuszczam, że kupienie kodu nie usuwa rzeczonych plików.


4

Uwagi i spostrzeżenia

  • Kolejna próba oszukania niedoświadczonych użytkowników sieci.


Przeczytaj teraz:

> Jak usunąć Delta Search z przeglądarki Internet Explorer?

Dodaj komentarz

  1. Zaloguj się:
  1. 24.07.2012

Komentarze

Nowa wersja infekuje klucz w gałęzi
Mój komputer ->HKEY_CURRENT_USER -> SOFTWARE ->Microsoft ->Windows ->CurrentVersion ->Run


Ostatnio zmieniony: 2012-08-13 22:16:56

Wielkie dzięki za pomoc!!! Plik z rozszerzeniem exe, ten do usunięcia, miał u mnie inną nazwę, ale wystarczyło chwilkę poszukać. Czytałam różne instrukcje dotyczące usuwania tej złośliwej blokady, ale niestety wszystkie były zbyt zawiłe, a ich realizacja przekracza moje możliwości ;) Jeszcze raz bardzo dziękuję! ;D

Ostatnio zmieniony: 2012-07-31 22:03:11