Chain Zanox

Autumn / Winter campaign 728x90

Wiggle

Wiggle - Precios imbatibles en deporte

viernes, 13 de enero de 2012

Virus UKASH - Cuerpo Nacional de Policía

Hoy me escribe un colega y me envía asustado una captura de pantalla de su portátil:

En el mensaje que sale en pantalla es claro y alarmante:

------------------------------------------------------------------------------
Atención!!! Ha sido detectada actividad ilegal! Su sistema operativo ha sido bloqueado debido a una infracción de la legislación alemana! Han sido detectadas las siguientes infracciones: "Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."

El presente bloqueo ha sido realizado para prevenir la posibilidad de difusión de dichos materiales desde su ordenador en internet.

Para desbloquear su ordenador, usted ha de pagar una multa de 100 euros! La multa ha de ser pagada antes de 24 hrs desde el momento del bloqueo de su ordenador! En caso de impago, todos los datos de su ordenador serán eliminados!”


------------------------------------------------------------------------------

Como últimamente con la ley Sinde esta la cosa un poco movida, me pongo inmediatamente a investigar. El SO es un Windows 7 Home Premium 64bits. Tras unos minutos veo que al parecer es un maldito troyano. Intento varias soluciones que encuentro pero ninguna es efectiva (los ficheros que dicen que tengo que borrar no existen). Así que como por lo que parece tiene que ser una cadena de registro o algo que haga que el "programa malicioso" se ejecute cada vez que inicio me pongo a indagas entre los ficheros que hay en el equipo. Finalmente, entrando en modo a prueba de fallos del SO (pulsando F8 al encender el equipo, seleccionas modo a prueba de fallos, de ese modo no se ejecuta el virus), veo que en c:\users\USUARIO\menú inicio\programas\startup (remplazando usuario por el nombre del usuario de inicio de sesión) y veo que hay un fichero que se llama 0.4539248561360405.exe.lnk. Altamente sospechoso. Para eliminar este fichero tendremos que bajar un live cd de linux, por ejemplo, ya que directamente no podremos eliminarlo por falta de permisos para acceder al directorio. Yo lo hice con el cd autoejecutable de la última distribución estable de Suse con entorno grafico KDE (Linux), pero vamos, que si ese no os gusta os podeis bajar el que querais.

Arrancamos con el live cd, vamos al directorio antes comentamos y eliminamos el condenado fichero. Una vez borrado, reiniciamos y voilá, ya veremos por fin nuestro escritorio y podremos trabajar.

Para asegurarnos que quede todo perfecto, recomiendo pasar despues un antispyware como Spybot Search & Destroy, que es gratuito. Para ello vamos a la web y descargamos e instalamos primero el antispyware y por último las actualizaciones. Una vez instalado, lo ejecutamos y limpiamos todas las guarreridas que tengamos metidas en el equipo y reiniciamos si el programa lo pide.
Despues recomiendo pasar alguna cosa mas, Ad-Aware free por ejemplo, pero ya a gusto de cada uno.


Espero que con esto tengais el equipo de nuevo funcionando al 100% (o por lo menos al 90%).


Un saludo

56 comentarios:

Bitácora de un Caracol dijo...

Grande Dani!!!!!
Virus UKASH eliminado

Anónimo dijo...

Gracias por la solución compañero, me vendrá de perlas para ponerla en practica aqui en el trabajo.

Isaac dijo...

Muchas gracias. Problema solucionado!!
Por cierto, creo que sería mejor solución aprovechar el cd autoejecutable para instalar directamente la versión de linux que queramos.

También hay otra forma de hacerlo sin el liveCD. El virus sólo bloquea un usuario. Si podemos entrar desde otro, con permisos de administrador también se puede borrar el archivo. En mi caso tenia otros números, pero se veía bien.

Una pregunta, lo que borramos es un acceso directo a un fichero situado en System32. Puede ser que el virus se quede en el ordenador pero sin que pueda arrancar?

Obocaman dijo...

Me alegro que te haya sido de utilidad el post.

La verdad es que si que sería una buena solución, pero vamos, no era plan de dejarle al colega el Suse instalado que igual no se entera de nada. El tema en este caso es que solo había un usuario activo en el SO, que era el que usaba él (el administrador esta deshabilitado por defecto en windows 7) y no podía entrar con otro usuario, pero si, si fuera el caso sería también una opción. 

Realmente el fichero por lo que pude ver era un link (no indague mucho mas), no se realmente si apuntaba a algún fichero en system32. El portátil del que lo quité tenía algún otro virus mas que no tuve tiempo de limpiar, no funcionaba el botón derecho del ratón y tenía deshabilitadas muchas opciones de sistema, entre ellas el administrador de tareas. Por eso, además de eliminar ese fichero aconsejo pasarle el spybot y algún otro antispyware, malwarebytes o similar para limpiar lo que pueda quedar en el sistema, y lo que no pues nos tocará acostumbrarnos a convivir con ello.


La verdad es que desde que me instalé el SO en mi pc no se me ha colado ni un virus ni malware raro, y eso que miro paginas porno a cascoporro, con esto me da a pensar en que mk colega y tu os debeis meter en unas paginas raras de huevos.


Saludos y gracias por el comentario Isaac.

chori dijo...

Yo lo he solucionao de pura casualidad. He iniciado en el modo a prueba de fallos y he ejecutado el SpyBot y conseguido eliminar una mieda virus que se llama nosequefraude... e reiniciado en modo normal y me sale un mensaje de error(m imagino q xq intenta ejecutarse pero no encuentra el archivo) le doy a aceptar y parece que todo funciona. Tu que crees que lo he solucionado?

Obocaman dijo...

Probablemente si. Escribe en ejecutar msconfig, y en la ventana que se abre, en la pestaña inicio, busca alguna entrada rara y desmarcala para que no se ejecute al iniciar el equipo. Por si las moscas.

erculi dijo...

Hola, gracias por la información, intente hacerlo como me dices pero no encontraba el archivo, así que me fui con el msconfing y quité todo, había una cosa rara, con números letras y símbolos raros(como en ruso mezclao con chino jaja), total luego reinicié, y funciono.
Luego abrí otra vez el msconfig y miré la ubicación y la busqué y la borré.
Espero que le sirva a alguien más mi información.
Saludos

erculi dijo...

por cierto, se me olvidaba que tenía una cuenta de invitado y desde ahí entre en el msconfig... si no creo que era imposible...

Anónimo dijo...

yo no tengo ni idea de informática pero lo eliminé de una forma bastante sencilla: encendí el ordenador con un disco de rescate metido en la Unidad de DVD. Eso me dió la opción de volver a un punto de restauración de los que crea automaticamente windows, con lo que el ordenador arrancó sin que apareciera el bicho ese. Luego pasé el antivirus y... nunca más ha vuelto a aparecer.

Anónimo dijo...

mi netbook con windows 7 starter está infectado con este virus. ¿Cómo puedo eliminarlo si no puedo introducir el cd de linux? gracias, mi nivel de informática es muy bajo. ¿Si copio a un usb archivos como fotos, videos etc, infectaría el usb o el disco duro?

Obocaman dijo...

No infectarias nada, pues por lo que he podido leer solo afecta al equipo donde se ejecuta el malware, no se propaga via usb. Eso si, no creo que puedas traspasar nada a un pen a no ser que inicies en modo a prueba de fallos o elimines el virus.

Intenta conseguir un lectora xterna de cds o bien un pendrive booteable que lleve algun sistem de recuperacion, ya sea un linux o un mini xp

Anónimo dijo...

obokan soy el del netbook, creo que he solucionado el problema, conseguí que no arrancara a través de msconfig, inicio de sistema lo inhabilité, pero aún permanecía en el sistema. Luego restauré el equipo cuatro días antes de tener el virus, ahora hago lo de msconfig y ya no aparece el virus (números/usuario/.exe) ¿Crees que lo he eliminado? Muchas gracias por la ayuda

Anónimo dijo...

Tengo windows XP, un bajo nivel de informatica y ninguna suerte encontrando en archivo de los cojones..

Tengo 3 users, asique donde miro es Allusers/programas/inicio y ahi no encuentro ni papa, tambien intento mirar la fecha y hora en las que se modifican los archivos y ni por esas, la verdad que mi nivel de desesperación va aumentando, sobretodo porque necesito el ordenador para trabajar, estoy utilizando otro sistema operativo que tenia instalado (Ubuntu).

Agradeceria cualquier ayuda...
Saludos

Anónimo dijo...

Exactamente el mismo problema que tuve yo y lo solucioné de la misma manera.

Anónimo dijo...

Que hijos de puta enfin, menudo sustO me he llevado, la solucion muy facil...entrar en modo a prueba de fallos con funciones de red, descargar malwarebytes, pasar el programa y eliminar los 2 trollanos, solucionado.

SALUDOS

Anónimo dijo...

La solución de instalar malwarebytes ha funcionado a la perfección. Muchísimas gracias!!!

Anónimo dijo...

Yo le doy a modo seguro con funciones de red y no me deja entrar

Anónimo dijo...

Hola, Buenos dias,
intenté entrar en modo seguro con fnciones de red (igualmente en modo seguro)y despues de algunos segundos se activa el virus igualmente.
Que puedo hacer? Muchas gracias por su colaboracion

jose dijo...

entro en mi sesion y de repente se pone lo del virus, apago...enciendo le doy al f8 y cuando le doy a modo seguro con funcion de red, se vuelve a reinciar y de ahi no paso...se soluciona con algun linux en cd?

Anónimo dijo...

Buenas, yo tengo instalado windows xp y esta misma tarde se me a instalado el famoso virus, yo desconocia su existencia, gracias a dios el problema me a durado 15 minutos, la solucion esta en reiniciar el pc, pulsar F8 y darle a la opcion de restaurar sistema a un punto de control anterior, asi ke lo e restaurado al dia de ayer y problema resuelto, despues e pasado el antivirus y el pc funciona a la perfeccion. Espero ke os funcione y no os desespereis.

Anónimo dijo...

Muy buenas a todos, en el dia de ayer se me colo este virus, lo repare gracias a los sabios consejos del Dr.obocaman. Seme me quito la pantallita de marras despues de utilizar el malwarebytes, pero aqui va mi pregunta. Al correr el programa en la pantalla que me daba los datos aparecieron algunos malware mas pero sin la marca de eliminar, me explico cuando me presento los datos unos venian ya marcados para borrar y otros no. No los borre,¿creeis que seria mejor borrarlos o no?. El ordenador marcha perfectamente, Gracias anticipadas y recibir un saludo cordial. Jose

Anónimo dijo...

necesito ayuda para desacerme d ese troyano 1-cuando enciendo y pulso f8 me aparecen 6 windows7 diferentes cual elijo? 2-q tengo q hacer luego .mi nivel d informaticaes muy muy bajo . Alguien podria ayudarme. mil gracias.

Obocaman dijo...

Al ultimo anonimo. Como leches es que tienes 6 sistemas en el inicio? Has reinstalado varias veces el sistema quizas?

Bueno, yo empezaria eligiendo el primero de la lista he iria probando ya que al no ver tu equipo no te sabria decir cual es el correcto. Alguno de ellos arrancara. Haz la prueba y una vez consigas encontrar el sistema correcto me escribes si quieres y seguimos revisando.

Jose, me alegro que te haya servido de ayuda para eliminar el Ukash. Yo los seleccionaria todos y los elimimaria (haz copia de seguridad del registro primero, creo que el programa te lo pregunta en algun momento).

Saludos

Anónimo dijo...

yo estoy perdido!!!!

a mi me sale a los 30 seg de encender el pc, no tengo ni idea de informatica pero hare eso del f8 a prueba de fallos... a ver q pasa...

solo qiero saber si pasa algo de verdd pq me asuste al ver nse q de la policia...

Obocaman dijo...

Anonimo, no hay problema con lo de la policia. El Virus Ukash es eso, un virus, así que no hagas caso al mensaje y ni se te ocurra pagar nada a nadie.

Lego dijo...

Muy buenas,

Yo tengo el mismo virus, pero no encuentro fácil solución. He leído todos los comentarios y he comenzado intentando la solución más fácil de las que comentáis. Pero el PC no arranca en prueba de fallos (al darle a "modo seguro" parece que hace el amago y vuelve a la misma pantalla de elegir modo de arranque). Lo he inentado después volviendo al último punto en que arrancó bien, pero al arrancar windows me sale en seguida el mensaje de la "poli".
Por último lo he ntentado con el openSUSE, pero no sé cómo arrancarlo sin instalarlo, si es que es posible.

Saludos y gracias.

R. Gaon@ dijo...

Ey Dani!!! Soy Rubén! :D

Muy chulo el blog!
Yo también tuve este virus jajaja, maldito... La primera vez me jiñé vivo, pero luego estaba tan mal explicado... con tantas exclamaciones... que ya se notava que era un virus como una catedral jajaja.

Yo no hice servir la distro de linux, pero si que es cierto que en users y en system32 encontré varios archivos sospechosos.

El problema es que al haver muchas variantes, cambian de nombre los archivos. Y a mi ni buscando por internet daba con el archivo correcto. Por lo que me repasé la carpeta Roaming y System32.

Luego por si acaso, pasé el ANTI MALWARE BYTES y... TACHÁN!! Todo el virus a la mierda. Reinicio y ale! PC NUEVO jajajaja.

Un saludo!!, enhorabuena por el Blog y cuidate!! :)

R. Gaon@ dijo...

Por cierto!! Se me olvidaba.

Tambien hay un "mini-método" que utilizé para matar el proceso de este virus.

Cuando iniciamos sesión, disponemos de escasamente 2-3 segundos antes de que se ejecute el virus. Por lo tanto, tenemos 2-3 segundos para:

-Darle CTRL + SHIFT + ESC
-Clic en PROCESOS
-Y buscar algo sospechoso

En caso de no tener tiempo, pulsar TECLA WINDOWS + L, saldríamos al cambio de usuario, cerraríamos sesión desde ahí y volveriamos entrar, hasta conseguir eliminar el proceso para que por lo menos nos deje toquetear el pc.

Saludos! :D

PD: me iré pasando por aquí que hay cosillas interesantes :)

Obocaman dijo...

Que sorpresa Ruben!!!

No nos escapamos ninguno del maldito virus (somos todos unos miradores de porno empedernidos). Cuando se coló en mi pc de casa lo saqué como tu comentas, matando el proceso antes de que arrancara, pero da poco margen de tiempo y es complicado.

Un saludo tio, pasate por aquí cuando quieras. Merci por la visita y los comentarios.



Lego, el Suse que te tienes que bajar es la versión liveCD (unos 600mb), que permite arrancar sin instalar. Si es el SO openSuse completo (normalmente ocupa un DVD entero) no te dará la opción de arrancar desde el CD.
Prueba y ya me dirás.
Saludos

Obocaman dijo...

Lego, buenas de nuevo. Entra a este enlace: http://software.opensuse.org/121/es y busca la opción donde pone kde live. Esto lleva a las descargas de los live cd, elige la versión 32 o 64 bits y le das a descargar. La descarga empezará inmediatamente.


Saludos

R. Gaon@ dijo...

Hola Dani!

Jajajajaja a mi me pilló mirando una página de serials/cracks y encima con pornografía incluída, hasta que se me cerró todo y ale, maldito virus... jajajaja.

Dani, primero de todo probaría con Lego de iniciar a modo prueba de errores e instalar el MALWARE BYTES que te comenté, y hacer un scan completo a ver que encuentra.

Así por lo menos se libra Lego de trastear con el SUSE si nunca lo ha tocado :)

Un saludo!!

PD: he visto que tienes un montón de categorías, estaría bien añadir algo como iphone o android que la gente eso le va de perlas saber cosillas, truquillos o curiosidades! Te lo dejo en tus manos!! :D

Cuidate crack!!!!!! Y a ver si nos vemos para tomar unas cervecitasssss!

Anónimo dijo...

Buenas, necesitaría ayuda. He leído vuestros comentarios y la verdad es que mi nivel de informatica es de usuario y necesito ayuda. Entré en modo seguro con funciones de red, y me descargueé el Malwarebytes, y lleva en proceso 17 minutos. Qué hago? Con eso sólo estará resuelto? O necesto algo más? Estoy acojonadísima!! Necesito el ordenador para currar.

R. Gaon@ dijo...

Hola! Para más seguridad, inicia en "modo seguro", el de funciones de red no.

Luego con el MALWARE BYTES realiza un ESCANEO COMPLETO del pc y de TODAS LAS PARTICIONES y ELIMINA TODO lo que te ponga el MALWARE BYTES una vez finalizado el escaneo.

Realiza lo que te he dicho y nos cuentas!

Saludos! :)

Anónimo dijo...

buenass!! a mi tambien me ha salido lo del virus... pero
1ª ni siquiera me deja arrancar en modo seguro, me sale el mensaje del virus...
e probado lo de arrancar windows y darle a ctrl+shift+esc pero nada se me pone el mensaje del virus tambien.. y e probado lo de tecla windows+L cierro sesion y abro con administrador,
pro tambien me sale lo del mensaje...
asi que como tenia intencion d formatear... pregunto...
formateando se soluciona? o abria alguna otra forma distinta?
muchas graciass

R. Gaon@ dijo...

Sí, formateando se eliminaría el virus. Pero hay otros métodos antes de formatear y ale.

Si tienes intención de BORRARLO TODO y dejarlo todo limpio, formatea. Pero si quieres guardar documentos que tengas tienes 2 opciones: o bien cargar un livecd de linux y guardarte todo lo que quieras o bien conseguir eliminar el virus y haciendolo desde el propio windows.

Respecto a que no puedes entrar en modo seguro, sí que puedes, pero para ello, reinicia el ordenador y cuando veas las letras blancas pulsa F8 todo el rato hasta que te salgan unas opciones, ahí escojes "Modo seguro". Una vez ahí, sigue el procedimiento arriba mencionado.

Haz ésto y nos comentas. ;)

Anónimo dijo...

toxic gracias por tu respuesta...
pero a lo que me referia del modo seguro..
es aciendo lo que dices..
le doy a F8 y le doy a modo seguro...
pero x alguna razon me hace el amago y se reinicia..
e probao tb la d iniciar en modo restuaracion sd etc... pero lo mismo..
y mi problema esque mi pc la lectora no le funciona por un error de windows d hay el formatear y no tengo forma d conseguir un live cd d linux puesto que no tengo grabadora...
vamos que visto lo visto formateare...
gracias por vuestra atencion

Obocaman dijo...

Por lo que comentas compañero tu equipo tiene algún otro problema en el sistema, poer eso no se inicia en modo a prueba de fallos.

Si no tienes datos importates en el disco te recomiendo que formatees sin dudarlo, ya que aunque puedas limpiar el virus y arrancar siempre quedará algun residuo del ukash metido en el sistema.

Anónimo dijo...

Hola!
Yo tengo el windows 7 y ni idea sobre informatica.

He probado a eliminar el virus ,en el modo seguro, pero no encuentro el programa ese que decis. Tambien lo he intentado con el malwarebytes
y nada.
y luego no consigo iniciar en modo seguro el ordenador a menos que lo desenchufe y al encender me da a elegir varios modos. Lo he intentado dandole al F8 pero no lo encuentro.

Si me pudierais ayudar os lo agradeceria mucho por que este ordenador es muy importante para mi.

Anónimo dijo...

hola soy el mismo.

he seguido indagando y me he fijado en que, en el programa malwarebytes, de los virus que he eliminado (pues tenia alguno mas) aparece uno muy sospechoso que puede ser ese troyano por que pone: C:\Users\Casa\AppData\Roaming\Peucne\vyva.exe
y despues pone mas abajo como el archivo:
C:\Users\Casa\0.9785043458240789.exe (Trojan.Agent.Gen)
y asi supongo que si lo es, porque se parece al que pones al inicio de la pagina.
Pero lo mas raro es que pone despues:
En cuarentena y eliminado con éxito.
Entonces inicio windows normal y..... sigue el virus.

Seguire mirando pero no tengo ni idea de que hacer.

Obocaman dijo...

Si llegas a poder ir a inicio\ejecutar, escribe msconfig y dale a enter.

Se abrirá una ventana con varias pestañas. Busca la pestaña que se llama inicio. Desde ahí podrás ver todas las aplicaciones que inician con el sitema. Busca en la lista si hay alguna que coincida con el nombre del virus que comentas. Si lo encuentras (ya sea eso o algo que te parezca sospechoso), desmarca el check de la izquierda y dale a ok o aceptar. Reinicia el equipo y prueba haber que pasa.

Ya me cuentas.

Anónimo dijo...

vuelvo a ser yo

de puta madre, ya no me aparece el virus UKASH

Graciad

efmardigal dijo...

virus ukash eliminado. gracias por la ayuda

PACO MERLA dijo...

Grande oboki!
Virus UKASH eliminado

ANA BODURO dijo...

Gracias por la solución para eliminar virus ukash compañero, me vendrá de perlas para ponerla en practica aqui en casa

ANA BOTIESO dijo...

El Virus Ukash es un virus o un troyano

ANA BOFLOJO dijo...

de perlas, un virus ukash menmos

ANA BOGORDO dijo...

thanks my friend, I erase the fucking virus ukash of my sistem

Anónimo dijo...

gracias tioooooo!joder habia probado todo ya!hasta lo de msconfig....y fuera!ahora voy a blindar pc .muchas gracias y volvere al blog fijo

Anónimo dijo...

hola, para empezar no tengo ni idea de informatica, y me ha salido el virus este de la policia. he estado leyendo este foro pero creo recordar que solo tengo un usuario, entonces para eliminar este virus que debo hacer? gracias.

Ruben dijo...

Entonces no es verdad k hay k pagar 100ePara desblokearlo?

Anónimo dijo...

que tal a mi me ha cogido el virus pero claro, solo con el internet puesto. Al entrar sin internet he restaurado el sistema a un dia anterior y listo. SOLUCIONADO

Anónimo dijo...

A mí me la han clavado pero hasta el fondo y encima estaba viendo un capítulo de One Piece.

¿Si ya he pagado, seguiré teniendo problemas con el dichoso virus?

Gracias y un saludo

Anónimo dijo...

Gracias de corazón Dani. Ha sido una suerte encontrarte (vamos como k te voy añadir a favoritos) y gracias a Rubén también.
Os cuento.... tengo un hijo en plena adolescencia,que para meterse donde no debe se lo pinta solo y luego los problemas para la mamma. Esta mañana colorao como un tomate me cuenta lo que le pasa al ordenador de casa. Que le descuente 100 euros de su paga para la multa. ME DIERON GANAS DE TIRARLE DE LOS PELOS... sin paga se queda un año. Ya mas tranquila, reacciono, conecto mi portátil (ese no lo toca él) y os encuentro.
Resumiendo: reinicio en modo seguro, descargo el malwarebytes, lo ejecuto y elimino TODOS los archivos encontrados al analizar. Reinicio y .... SORPRESA "lo he conseguido" gracias a vosotros claro está pero a mi autoestima de ama de casa le viene fenomenal.
Saludos a todos
-Lola-
Pd: Ahora estoy buscando como poner filtros al ordenador que utiliza mi "angelito".

Obocaman dijo...

Me alegra que te haya sido de utilidad el tutorial. La verdad es que es un virus que es bastante toca narices.

Los filtros que quieres poner serían para bloquearle determinados contenidos en internet?

Explicame que necesitas y igual te puedo echar una mano.


Un saludo

Anónimo dijo...

Gracias. Ni idea de informatica. Pero en modo a prueba de fallos y con malwarebytes problema resuelto. Facilisimo. Graciassssss!!!!

Anónimo dijo...

Hola ayer me paso lo del virus de la policia,mi antivirus reacciono,peto aun asi reinicie y restauré los archivos y puse algo q se llama spyhuder patece que no quefo rastro gracias