KESÄLOMALLA 28.7-24.8.
LOMANI AIKANA KATSON SÄHKÖPOSTIANI AIKA AJOIN JOTEN VOIT LAITTAA VIESTIN OSOITTEESEEN
JANNE@IT-WEBPALVELUT.COM
TERVEISIN JANNE ISOKOSKI
KOTISIVU-, DOMAIN-, WEBHOTELLI- JA PC-KORJAUSPALVELUT

“Poliisi haittaohjelma” ja sen poistaminen koneelta

Sain soiton asiakkaalta jonka koneeseen oli iskenyt ns. “poliisi haittaohjelma”.  Kyseinen ohjelma ilmaantui käyttäjien riesaksi viime keväänä. Viestintäviraston sivuilla ohjelmaa kuvaillaan näin:

Maaliskuussa 2012 on ollut liikkeellä haittaohjelma, joka lukitsee käyttäjän tietokoneen ja vaatii poliisin nimissä rahaa sen avaamiseksi. Haittaohjelmalla ei todellisuudessa ole mitään tekemistä poliisin kanssa. Kyseessä on niin sanottu ransomware (ransom = lunnaat) eli haittaohjelma, jolla pyritään kiristämään rahaa koneen käyttäjältä. Poliisi on kehottanut haittaohjelmatartunnan saaneita olemaan maksamatta vaadittua summaa. Maksaminen ei poista haittaohjelmaa eikä pura sen tekemää lukitusta.

Mainittu asiakas toi koneen minulle tutkittavaksi ja selvisi seuraavaa… Kaikki toimi normaalisti niin kauan kun koneessa ei ollut verkkoyhteyttä. Heti kun koneen laittoi verkkoon ruudun valtasi alla oleva kuva (klikkaamalla kuva suurenee):

poliisiherja

Koneella ei pystynyt tekemään mitään, lopulta painoin CTRL+ALT+DEL  ja pääsin valikkoon josta koneen sai lukittua, kirjauduttua ulos, käynnistämään tehtävienhallinnan tai sammuttamaan koko koneen. Yritin tehtävienhallintaan mutta sepä ei käynnistynytkään. Toisella koneella aloin sitten etsimään netistä ohjeita tilanteeseen.  Viestintäviraston sivulta http://www.cert.fi/ohjeet/2012/ohje-2012-01.html  löytyi ohje jota läksin noudattamaan mutta mainituista poluista ei löytynyt kyseisiä tiedostoja joita poistaa.

Siinäpä sitten ihmeteltiin ja googlattiin lisää. Monenlaisia vinkkejä löytyi mutta mikään ei auttanut. Latasin ilmaisen F-securen Rescue cd:n , pistin koneen sillä tarkistukseen ja löytyikin 24 erilaista malware-haittaohjelmaa koneelta mutta tämä poliisi-juttu vaan pysyi edelleen. Lopulta löytyi Viestintäviraston sivuilta artikkeli jossa kerrottiin:

CERT-FI:n tietoon on tullut uusia versioita poliisin nimissä rahaa vaativasta haittaohjelmasta, joiden poistamiseen Ohje 1/2012:ssa kuvatut toimenpiteet eivät auta. Haittaohjelman käyttämät hakemistopolut ja tiedostonimet voivat vaihdella sen eri versioissa ja eri käyttöjärjestelmissä.

Great! Milläs haittaohjelman nyt sitten löytäisi?!? Kunnes löysin jälleen Viestintäviraston sivuilta seuraavan ohjeen http://www.cert.fi/tietoturvanyt/2012/06/ttn201206281530.html.

Menin ohjeessa mainittuun temp-kansioon ja toivoin löytäväni mainitun .exe-tiedoston sieltä… mutta ei löytynyt. Temp-kansiossa oli julmetusti kaikenlaista sälää mutta ei yhtään .exe-tiedostoa. Menin komentoikkunan kautta tutkimaan käynnistysvalikkoa ja sieltä löysin ohjeessa mainitun ctfmon.lnk-linkin. Se herätti toiveita, että temp-kansiossa on sittenkin joku ohjelma jonka mainittu linkki käynnistää kun koneen pistää verkkoon. Linkkiä ei saanut poistettua käynnistysvalikosta. Menin siis takaisin temp-kansioon ja aikani pähkäiltyäni kiinnitin huomioni feO_zip tiedostoon. Nimesin kyseisen tiedoston uusiksi, kirjauduin koneelta ulos ja takaisin sisään.

Ja kas… ruudulle tuli herja ettei feO.exe ohjelmaa voinut käynnistää. Pistin koneen verkkoon ja eipä enää tullut “poliisi-ikkunaa” :) Seuraavaksi menin komentoikkunan kautta käynnistyvalikkoon ja nyt sain poistettua ctfmon.lnk-linkin. Seuraavaksi koneen virustorjuntaohjelma löysi feO.exe tiedoston joka pistettiin karanteeniin. Ja sen jälkeen kaikki oli ok. Päivitin koneen Java-, Adobe Acrobat Reader- ja Adobe Flash Player-ohjelmat uusimpiin versioihinsa koska näiden kautta kyseinen haittaohjelma on levinnyt käyttäjien koneisiin.

Summasummarum:

Kannattaa pitää kaikki ohjelmat koneella ajantasalla jotta riski esimerkiksi tämän tyyppisen ohjelman pesiytymiseen omalla koneelle pienenee. Tuli tässä myös huomattua se etteivät virustorjuntaohjelmistot aina pysty blokkaamaan kaikkia uhkia eivätkä aina löydä koneelle jo päässeitä viruksia / haittaohjelmia. Tämäkin kyseinen ohjelma saanee vielä uusia versioita joiden kanssa saa taas pähkäillä mistä ne koneen monista kansioista löytää… Ei käy elämä tylsäksi kun viruksia jahtaa ;)

 

85 vastausta kohteessa “Poliisi haittaohjelma” ja sen poistaminen koneelta

  • Roy sanoo:

    Jepjees ja suuri kiitos Janne!
    Mulla oli sama jutska mutta tiedoston nimi oli: install_0_msi.exe
    Samalla tavalla tuli poistettua ja masiina toimii taas.
    Hiukan tuli mietittyä että miten mä tämän paskan poistan. Noi ohjeet tuli tarpeeseen – keep up the viruskillig job ;)
    BTW: avast sucks!

    • Janne Isokoski sanoo:

      Morjes Roy,

      eipä kestä kiittää! Hieno homma jos ohjeistani oli apua ja koneesi pelittää taas :)

  • jope sanoo:

    itse sain poistettua kyseisen ohjelman superantispyware ohjelman avulla Tai niin ainakin luulen meinaa kun vedin tuolla läpi niin ei enää hyppää kyseinen juttu silmille enää.

    • Janne Isokoski sanoo:

      Moi Jope,

      hyvä tietää vastaisuuden varalle, että tuollainenkin vaihtoehto on olemassa :)

  • Aino Mäkinen sanoo:

    Hei Janne Isokoski!

    Voisitkos laittaa kohta kohdalta :) miten saan ko. haittaohjelman pois koneeltamme.
    Emme ole mieheni kanssa tietokonenörttejä.

    Kiitos! Terv. Aino

    • Janne Isokoski sanoo:

      Moi Aino,

      voin yrittää selventää ohjetta :) Ohjelmasta on erilaisia versioita liikkeellä joten yleispätevää ohjetta on vaikea antaa, itse jouduin yhdistelemään Viestintäviraston sivuilla olevia ohjeita jotta sain haittaohjelman poistettua. Jope mainitsi viestissään, että hän oli saanut Superantispyware ohjelmalla ainakin estettyä “poliisi-ikkunan” hyppäämisen ruudulle. Itse en ole kyseistä ohjelmaa testannut joten en osaa satavarmasti sanoa toimiiko vai ei.

      Ohjelman poistaminen komentoikkunan jne. kautta vaatii pientä “nörtteilyä” mutta ei mitään ylitsepääsemätöntä. Kannattanee ensin katsoa löytyykö Temp-kansiosta epäilyttäviä/omituisia tiedostoja. Seuraava pätkä on Cert.fi-sivuilta

      Koneen mentyä haittaohjelman toimesta lukkoon ainoa toimiva näppäinyhdistelmä näyttäisi olevan Control-Alt-Delete. Avautuvan valikon kautta voi kirjautua ulos, jolloin haittaohjelma sulkeutuu ja lukitus tilapäisesti vapautuu. Tämä jälkeen kannattaa katkaista verkkoyhteys joko irrottamalla verkkokaapeli, sammuttamalla langaton verkkokortti tai poistamalla mokkula. Verkkoyhteyden katkettua haittaohjelma tyytyy käynnistymään taustalle lukitsematta konetta. Haittaohjelma on käyttäjäkohtainen, joten koneelle voidaan ongelmitta kirjautua sisään myös toisella käyttäjätunnuksella. Tällöin myös verkkoyhteys voi olla auki.

      CERT-FI tutkima kiristyshaittaohjelma asentui käyttäjän tilapäiskansioon. Tilapäiskansioon on helpointa siirtyä avaamalla Internet Explorer ja kirjoittamalla osoiteriville %TEMP%. Avautuvassa hakemistossa voi olla useampia tiedostoja. Tiedostojen aikaleimojen avulla voi yrittää päätellä, mikä tiedosto kuuluu haittaohjelmalle. Meidän tapauksessamme haittaohjelma lymyili tiedostossa, jonka nimi oli er_00_0_l.exe. Tilapäiskansion tiedostot eivät ole oleellisia itse käyttöjärjestelmän toiminnan kannalta, joten kansion tiedostoja voi suhteellisen turvallisesti poistaa. Koska haittaohjelma on käynnissä, tiedoston poisto ei välttämättä kuitenkaan onnistu. Tällöin voi kokeilla tiedoston nimeämistä uudelleen.

      Poiston tai uudelleen nimeämisen jälkeen voi kirjautua ulos ja takaisin sisään. Mikäli näyttöön avautuu alla olevan kuvan mukainen RUNDLL-virheilmoitus, voidaan olla varmoja siitä, että kyseessä oli oikea tiedosto. Tämän jälkeen tiedoston voi käydä poistamassa lopullisesti tilapäiskansiosta. Mikäli vielä haluaa eroon RUNDLL-virheilmoituksesta, tulee haittaohjelman luoma oikopolku poistaa käynnistysvalikoista. Meidän tapauksessamme oikopolku oli nimeltään cftmon.lnk.

      Minun tapauksessani haittaohjelma ei ollut nimeltään er_00_0_l.exe vaan ohjelma oli jemmassa feO_zip:n sisällä. Nimesin kyseisen tiedoston uusiksi painamalla tiedoston kohdalla hiiren oikeaa nappia ja valitsemalla avautuvasta valikosta “nimeä uudelleen” kohdan. Tiedostoon voi lisätä vaikka vain yhden merkin tai numeron lisää ja sitten vaan painaa enteriä, se riittää. Sen jälkeen kirjauduin koneelta ulos ja takaisin sisään ja silloin näytölle tuli herja ettei feO.exe ohjelmaa voitu käynnistää. Tämän jälkeen noudatin Cert.fi-sivujen tätä ohjetta ( tämä osa vaatii pientä nörtteilyä;) ) ja poistin ctfmon.lnk-linkin.

      Siinäpä se, ainakin tässä minulle eteen tulleessa tapauksessa.

  • marko sanoo:

    Appiukolle oli tämä pesinyt. Ilmeisesti uutta mallia, siinä oli huonoa suomea ja oikein avasi webbikameran josta näit oman pärstän. 100 euroa vaati
    ohjelma oli nimellä: “wgsdgsdgdsgds” eli melko siansaksaa. Taitaa nimetä tullessaan itsensä niitten näppäinpainallusten perusteella mitä käyttäjä homman kustessa hermostuksissaan painelee.
    netti pois – ko. tiedoston nimi uusiksi ja cert.fi ohjeilla eteenpäin soveltaen.
    poisto onnistui sitten uudelleenkirjautumisen jälkeen normaalisti- paitsi se
    komentopolku piti poistaa komentorivinä, ctfmon. oli tämäkin.

    • Janne Isokoski sanoo:

      Terve Marko,

      sain muutama viikko sitten korjattavakseni koneen jossa oli hiukan uudempi versio tästä kyseisestä haittaohjelmasta. Ohjelma löytyi tälläkin kertaa temp-kansiosta mutta ohjelman nimi oli WGSDGSDGSD.EXE eli taitaa olla sama versio kuin mikä appiukkosi koneella oli. Itse poisto meni samalla lailla, eli tiedoston uudelleennimeäminen, koneelta uloskirjautuminen, sisäänkirjautuminen ja sitten työpöydälle tuli herja ettei WGSDGSDGSD.EXE:n käynnistäminen onnistunut. Lopuksi vielä pikakuvakkeen CTFMON.LNK poisto komentoikkunan kautta ja siinäpä se olikin. Saas nähdä tuleeko jatkossa eteen vielä muitakin versioita tästä ohjelmasta…

  • KImmo sanoo:

    Itselle iski kanssa tuollainen mato koneelle tässä juurikin ja se oli juuri tuo wgs….exe -niminen tiedosto. Sen verran antaisin vinkkiä muille, että mikäli saastumisaika on tiedossa niin kannattaa katsoa tiedostojen luomispäivistä mikä on luotu saastumispäivänä, voittaja löytyy ylensä siitä ryhmästä.

    Itsellä oli helppo kun tiesin tarkalleen että tänään saastui ja katsoin vain mikä tiedosto (no, listasin exe-tiedostot) oli luotu tällä päivämäärällä.

  • Jori sanoo:

    Moro
    (kaikki tulee tänne jostain syystä isolla, sorry.)
    Nyt tuli eilen tännekin tällänen poliisivirus, lunnaita vaatii..
    suomenkielinen win xp kyseessä.
    kone ei salli viruksen tultua mitään toimenpiteitä sen jälkeen, kun on kirjautunut sisään. verkkopiuhan irroituksen jälkeen poliisi kuva muuttui kokovalkoiseksi ruuduksi. myös perus viansietotilassa sama tulos. vain valitsemalla viansietotila komentorivillä saa jonkin yhteyden koneeseen.
    sillä en ole löytänyt ko käyttäjän käynnistys hakemistosta mitään *.lnk tiedostoa. jokin viiruksen isku aikaan tullut ms.exe löytyi ko käyttäjän hakemistosta, mutta sen poistaminen ei auttanut.

    mistä hakemistosta teillä on löytynyt noita pahoja *.exe tiedostoja? tässä olen niitä kattonut c:\document and settings\username\local settings\temp\
    samaan pääsee cd %temp%

    yritin etsiä c: juuresta lähtien komennolla dir *wgs*.exe /s eli sen pitäs etsiä koko c: levy läpi(?). noita edellä mainittuja pahoja exe tiedoston nimiä en ole löytänyt.
    Mitä jos kirjautuu toisella käyttäjällä sisään, onkohan siellä odotettavissa sama valkoinen lukitus ruutu?

  • Ville sanoo:

    Mulle tuli tänään windows 7:aan sama “poliisin” haittaohjelma ja valkoinen näyttö jatkuvasti, eikä oo tietoa miten saa systeemin taas toimimaan…

    • Janne Isokoski sanoo:

      Morjes Ville, kokeile ekaksi vaikka noilla Jorin vinkeillä saada koneesi taas pelittämään

  • Jori sanoo:

    Lopulta kun löysin tietoa, että viansietotilassa komentoriviltä saa startattua graafisen XP:n käyttöön explorer.exe:llä, niin pääsin käsiksi msconfig tietoihin. Siellä oli käynnistyksessä kaksi tyhjää riviä, joissa ei ollut nimeä, eikä kohdetta. Poistin ne ja samalla otin kanssa Alcxmntr.exe pois sieltä.

    Samalla ajoin malwarebytes:n anti malware checkin läpi. siinä oli 42 pvää vanhat viruskannat. Tuossa viansietotilassa ei toiminut yhteydet, niin en päässyt niitä vielä päivittämään tuossa vaiheessa. Se kuitenkin löysi 3 epäilyttävää kohdetta jotka poistettiin. Tämän jälkeen kone käynnistyi normaalisti.

    laitan noi tiedot niistä kolmesta epäilyttävästä kohteesta tossa myöhemminm sekä muiden anti virus sw tuloksia.

  • Jori sanoo:

    Niin ja siis viansietotilassa sain malwarebytes ohjelman koneeseen muistitikulta, jonka tein toisessa koneessa.

    Malwarebytes löysi nämä:
    trojan.FakeMS c:/Program_files/microsoft office/office/findfast.exe
    Trojan.Agent C:/Documents and Settings/HP_Omistaja/application_data/msconfig.dat
    Trojan.Agent HKCU\SOFTWARE\microsoft\windows NT\current\winlogo|shell

    Kaspersky löysi vielä nämä:
    Trojan program Exploit.Java.CVE-2011-3544.py
    C:\Documents and Settings\username\Application Data\Sun\Java\Deployment\cache\6.0\22\101efb96-73aa4803\sa\sa.class

    Trojan program Exploit.Java.CVE-2011-3544.ow
    C:\Documents and Settings\username\Application Data\Sun\Java\Deployment\cache\6.0\3\75c18943-1c3b6e9f\Man.class

    fsecure ei hälyyttänyt noista.

    Mutta jotenkin jäi tunne, että noista ei mikään olisi ollut se poliisi virus, mutta nyt kuitenkaan ei löydy mitään ja kone toimii.

  • Janne Isokoski sanoo:

    kiitoksia Jori varsin seikkaperäisestä selvityksestä viruksen poistamisessa :smile:

    Sinulla taisi olla sellainen versio johon en ole itse vielä törmännytkään. tähän asti kaikki versiot mitä olen nähnyt ovat aktivoituneet vasta kun koneen on laittanut verkkoon. äkkiseltään epäilisin, että Alcxmntr.exe oli se virustiedosto, varma en toki tästä ole. hienoa, että sait koneesi taas futaamaan!

  • Uffi sanoo:

    itselläni päällä nyt juurikin tuo kyseinen versio, että ei ole riippuvainen verkosta.. selvitellään…

  • Pera sanoo:

    En pääse tuosta vikasietotilan komentoriviltä eteenpäin ,eli haitta istuu vankasti koneellani. :sad:

  • Pera sanoo:

    niin käyttis on xp , ja jumahtaa tohon vikasietotilaan ,en pääse siitä eteenpäin.

  • j- p sanoo:

    joo elikkäs iski sama poliisi, yritin hakkeroida komentoikkunoitten kautta, ei ollut sama tiedosto joka oli ohjeissa, kävin kattoon temp kansiosta aikaleiman perusteella ja tosiaan ei lähteny pois, joten nimesin uudestaan ja käynnistin uudestaan koneen ja kävin sit virheilmotuksen jälkeen poistamassa… kivaa oli ku osas : )oli joku dll päätteinen ??

    • Janne Isokoski sanoo:

      Moi J-P,

      hyvä kun sait koneesi taas pelittämään :) Tuntuu olevan monia eri versioita kyseisestä poliisiviruksesta liikkeellä joten nuo ohjeissa mainitut tiedostonimet ei aina pidä paikkaansa. Mutta temp-kansiosta haittaohjelma tuppaa aina löytymään, sieltä vaan aikaleiman perusteella tosiaan on suht helppo löytää “syyllinen”.

  • j- p sanoo:

    nimen omaan, ja on kyllä hyvä että tota kiristys ohjemaa on varoiteltu monissa foorumeissa, ite olin 2pv, kusisukassa että millon poliisi tulee ja nappaa : D mutta hyviä ohjeita on ollut, ja nyt just f securen kautta puhistan konetta, on myös eri puhistus ohjelmia kuulema tehty jolla saa kiristys ohjelmat löydettyä ja poistettua : )

  • RIKU HIETALA sanoo:

    Moi janne.myös tännepäin pamahti kyseinen virus nettikameroineen kahteen koneeseen sopivasti jouluksi :twisted: ,onneksi vielä yksi toimii.Kysyisin tämmöstä että millä ihmeellä voi aloittaa tekemään mitään viruksen poistoa kun kyseinen poliisi-ruutu pamahtaa näyttöön melkein heti kun koneen avaa,oli kone yhdistetty nettin tai ei ja tämän jälkeen mikään ei toimi,ei saa mitään muuta aktivoitua näyttöön,hiiri kyllä toimii mutta ei saa mitään linkkejä ruutuun mistä jatkaa eli kuinka tässä voisi tehdä mitään kun ei pääse minnekään ??!! :?:

    Hyvää joulua kaikesta huolimatta !!!

    • Janne Isokoski sanoo:

      Moro Riku,

      vai tuollaisen joululahjan sait kahteen koneeseen :/ Näkisin, että sinulla on kolme vaihtoehtoa mitä kokeilla.

      1. Lataa toimivalla koneella Malwarebytesin Anti-Malware ohjelma usb-tikulle linkin http://www.download.fi/tietoturva/haittaohjelmien_poisto/malwarebytes_anti-malware.cfm kautta. Jos saat “saastuneen” koneen käynnistymään vikasietotilassa niin koita saada asennettua ohjelma koneeseen ja sitten pyörität koko koneen tarkistuksen.

      2. Jos saastunut kone ei käynnisty vikasietotilassa, lataa F-securen rescue cd osoitteesta http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142. Poltat iso-imagen polttohjelmalla tyhjälle cd levylle, käynnistä saastunut kone ja tarkista bios asetuksista, että kone boottaa ekaksi cd asemalta. Sitten Rescue cd sisään, koneeseen verkkopiuha kiinni jotta ohjelma saa haettua uusimmat virustunnisteet käynnistyksessä. Sitten vaan käynnistät koneen, rescue cd käynnistyy ja pistät täyden tutkimuksen käyntiin. Ohjelma hakee uusimmat tunnisteet verkosta ja tutkii koneen.

      Jos kumpikaan aiemmista toimenpiteistä ei poista ongelmaa on tämä ainut vaihtoehto mikä tulee mieleen:
      http://wp.it-webcloud.info/winlock-exe-troijalainen

      Toivottavasti saat jollakin näistä keinoista molemmat koneesi taas iskuun! Hyvää joulun jatkoa ja eikun virusten kimppuun ;)

      • riku hietala sanoo:

        Moro Janne Ja kiitos nopeasta vastauksesta.Joo eikun virusten kimppuun jos joku noista ohjeistasi purisi !!!

        Hyvät joulun jatkot ja uudet vuodet !!!!!!

        • Janne Isokoski sanoo:

          Moi Riku,

          ei muuta kuin kokeilemaan vaan, uskoisin että jokin noista keinoista varmasti tepsii. Hyvää ja haittaohjelmista vapaata uutta vuotta :)

  • JaRMO ORAVA sanoo:

    Moi . SAMA saasta ohjelma täälläkin muutama päivä sitten ! …. ensi hölmistyksen jälkeen otin koneen irti netistä, ja kun sain koneen Sulkeutumaan ja käynnistymään uudestaan, ohjasin funktionäppäimellä systeemin suoraan järjestemän palautukseen (enneN kuin windows käynnistyy). systeemi palautti järjestelmän parin päivän takaiseen palautuspisteeseen ja saasta ohjelma katosi tällä tavoin täällä.

  • A-P sanoo:

    minulla iski tänään tuo poliisipöpö.
    ajoin ekaksi ccleanerin, spybotin, f-securen easycleanin ja pohjalla pyörii avira free antivirus.

    lueskelin ohjeita netistä ja latasin sitten malwarebytes anti-malware ohjelman, joka löysi tuon ransomin. poistin sen ja kaikki toimii taas. tässä tuon softan ajon jälkeinen lokitiedosto

    C:\Users\xxxxx\wgsdgsdgdsgsd.dll (Exploit.Drop.GS)
    C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA)
    C:\Users\xxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk (Trojan.Ransom.SUGen)

  • Hymiö sanoo:

    :razz: Se on pojat sillee et kohta (2014) poliisi saa iha laillisesti asentta haittaohjemia koneisiin eikä niitten tarvii salaa tällasia tehdä

    • Janne Isokoski sanoo:

      Justiinsa näin :) Mielenkiinnolla odottelen ensi vuotta ja sitä kun ekan kerran tulee julki, että tätä oikeutta on käytetty.

  • jukka sanoo:

    Mä poistin silleen tuon haitta ohjelman, koneen käynnistyksen alussa painoin f11 siinä sit valitsin edellisen päivityksen valikon ja palautin koneen edelliseen päivitykseen. Sen jälkeen ei poliisi enää kiusannut.

  • Jere sanoo:

    Hei, ÄsKettäin eilen minUllekin tuli tämä poLiisi virus kOneelle, seurasin kyl ohjeIta muTteN pääsSy ikinä temp kansioon käsiksi, kun pYydettIin kirjautua toiseen käyttikseen mutta kun Ei ole kun yks, Olen ihan jumissa, apua?

    • Janne Isokoski sanoo:

      Moi Jere,

      nyt kuulostaa siltä, että sinulla on sellainen versio kyseisestä ohjelmasta joka ei enää löydy temp-kansiosta joten se ohje ei enää päde. Jos tilanne on vielä päällä kannattaa tehdä seuraavasti: Jos sinulla on toinen kone jota voit käyttää niin käy lataamassa F-securen Rescue cd image(.iso) tiedosto ja polta se levylle. Sen jälkeen pistä verkkopiuha “saastuneeseen” koneeseen kiinni, cd asemaan ja kone käyntiin. Jos kone ei suoraan boottaa levyltä niin sinun täytyy mennä muuttaamaan käynnistysjärjestystä biosista niin, että ekana kone yrittää käynnistyä cd/dvd-aseman kautta. Kun saat koneen boottaaamaan levyltä Rescue ohjelma käynnistyy ja hakee verkosta uusimmat virus/malwaretunnisteet, pistät ohjelman scannaamaan koko koneesi. Kun aikanaan tarkistus on valmis ja jotain toivottavasti on löytynyt ja poistettu ohjelman toimesta niin ei muuta kuin kone käyntiin normaalisti. Mikäli haittaohjelma ei ole poistunut niin ei auttane kuin ottaa kiintolevy saastuneesta koneesta irti ja liittää se toiseen koneeseen slave-levyksi. Toimivaan koneeseen asennat ilmaisen Anti-Malware ohjelman vaikkapa osoitteesta http://www.malwarebytes.org . Päivität uusimmat tunnisteet ohjelman käynnistyessä ja tarkistat saastuneen levyn.

  • Naamahanhi sanoo:

    Mä lähetin rahaa sinne nii lähti helpommi virus koneelta. Ei vaa. :razz: Ittellä oli jo hermot menossa tän ongelman kanssa ku tuli poltettua 2 rescue cd:tä ja muita juttuja mutta se millä meikä sen sai pois koneelta oli poistamalla jrscpls.EXE mikä löyty C:\Users\KÄYTTÄJÄ\AppData\Local\Temp\jrscpls.exe tuolta. Mulla on Windows 7 ja toivottavasti tää nyt auttaa ees jota kuta :razz:

  • aku sanoo:

    itsellähäni tuo virus ei meinannu lähtee millää… mistää ohjeista ei ollu oikee apua.. sitte löyty, toimi pelkästää komentorivi koneessa nii sain pois tuon viruksen
    cd..
    cd..
    %temp%
    attrib
    ja löyty virus nimeltä jrscpls.exe
    vaihoin sen nime
    rename jrscpls.exe jrscpls_exe
    käynnistin konee uuestaa ja pytstyin lataamaa tuo malware ja sitte kaikki rupes onnistuu :)

  • Tero sanoo:

    POISTIN JUST TÄN HAITTAOHJELMAN uuden version YHDELTÄ FIRMAN KÄYTTÄJÄN KONEELTA MALWAREBYTES ANTI-MALWARE OHJELMAN AVULLA.

    HAITtaohjelma oli xp-koneessa tekeytynyt skype-ohjelmaksi, löytyi skype.ini ja skype.dat tiedostot c:\documents and settings\[tunnus]\application data -kansiosta, vaikkei koneessa ollut skypeä asennettuna. C:\recycler\ -kansion alta löytyi sitten haittaohjelman .exe-tiedosto tuolla malwarebytesillä.

    • Janne Isokoski sanoo:

      Moro Tero,

      aina vaan näyttää löytyvän uusia versioita tästä ohjelmasta, tämä oli eka kerta kun kuulin “Skype” versiosta. Kiitoksia tiedosta ja hyvä että asiakkaan kone taas pelittää!

  • vihdoin sanoo:

    haluan auttaa koska vittuunnuin niin tästä!! elikkä mun versiossa ei ollut temp kansiossa mitään!! vaan C:\users\nimi…\wgsdgsdgdsgsd.exe!!!! sen nimeätte ja sitten poistatte!! kiitos neuvoista!

    • Janne Isokoski sanoo:

      Eipä kestä kiittää, hienoa että haittaohjelma löytyi ja sait sen poistettua :)

  • Reijo sanoo:

    minulla löytyi userin alta “sovelluslaajennus” nimeltään 4294316.dll. Tiedoston kuvauksessa luki
    “Pentium floating point divide error utility. Epäilytti koskea tiedostoon, mutta tiedoston muokkausajan perusteella päätin nimetä tiedoston uudelleen. Tämän jälkeen poliisit katosivat.

    En ole vielä tuhonnut tiedostoa. Onko tällainen tiedosto oikeasti tärkeä?

  • Remu sanoo:

    Omalla win 7 koneella myös skypeksi tekeytynyt satiainen. poistui malvare ohjelmalla.

  • Reijo sanoo:

    Kun vaihdoin tuon dll-tiedoston nimeä, poliisit katosivat. kun käynnistän tietokoneen uudelleen, saan rundll-ilmoituksen: “virhe ladattaessa …”. eli poliisit yritetään saada takaisin. Poliisit eivät tule. vaan pääseen käyttämään konetta.

    Miten pääsen tuosta ilmoituksesta eroon? yritin eilispäivän palautuspistettä, ei vaikutusta. miten siis poistetaan käynnistys-valikosta tuo. käytössäni suomenkielinen vista.

  • Reijo sanoo:

    Poistin sitten vielä tiedoston runctf. Tämän jälkeen ei tullut mitään ilmoituksia.

  • tuomas sanoo:

    sama homma mulla. mut kun ei toimi vikasieto tilakaa nii pitäskö asentaa uuellee vai mite saan
    konee pelittää. ois vähäkiire. ja vaihe vaihe jos mahollista en ymmärrä koneiden päälle mittään.kiitos tuomas

    • Janne Isokoski sanoo:

      Moro Tuomas,

      jos et saa konetta vikasietotilassakaan käynnistettyä niin ennen uudelleenasennusta mieti vielä näitä vaihtoehtoja mitä Jerelle aikanaan laitoin:

      “Jos sinulla on toinen kone jota voit käyttää niin käy lataamassa F-securen Rescue cd image(.iso) tiedosto ja polta se levylle. Sen jälkeen pistä verkkopiuha ”saastuneeseen” koneeseen kiinni, cd asemaan ja kone käyntiin. Jos kone ei suoraan boottaa levyltä niin sinun täytyy mennä muuttaamaan käynnistysjärjestystä biosista niin, että ekana kone yrittää käynnistyä cd/dvd-aseman kautta. Kun saat koneen boottaaamaan levyltä Rescue ohjelma käynnistyy ja hakee verkosta uusimmat virus/malwaretunnisteet, pistät ohjelman scannaamaan koko koneesi. Kun aikanaan tarkistus on valmis ja jotain toivottavasti on löytynyt ja poistettu ohjelman toimesta niin ei muuta kuin kone käyntiin normaalisti. Mikäli haittaohjelma ei ole poistunut niin ei auttane kuin ottaa kiintolevy saastuneesta koneesta irti ja liittää se toiseen koneeseen slave-levyksi. Toimivaan koneeseen asennat ilmaisen Anti-Malware ohjelman vaikkapa osoitteesta http://www.malwarebytes.org . Päivität uusimmat tunnisteet ohjelman käynnistyessä ja tarkistat saastuneen levyn.”

  • Reijo sanoo:

    Mm tämän takia kannattaa koneelle tehdä useampi tili. järjestelmänvalvojana ei normaalisti tehdä mitään. kaikki toiminta tavallisena käyttäjänä. jos käy niin kuin näissä tapauksissa on käynyt, niin vain sen normaalin käyttäjän tili lukkiintuu. järjestelmänvalvojana pääsee koneelle normaalisti ja voi tehdä korjaavia toimenpiteitä.

  • Pekka sanoo:

    mories,

    Pahoittelut mahdollisesta caps lockista. En tiedä, onko tämä pakotettu tähän formiin.

    Jokatapauksessa otan kyllä mieluusti vastaan neuvoja ja vihjeitä mistä kaikkialta näitä tuholaisia voi koneelta löytää. Minulla nimittäin tilanne, että asiakkaan Citrix XenDesktop ympäristössä tämä jyllää, enkä tunnu saavan mitenkään kettuun. Kyseessä pooled ympäristö, joten joku uusi tapa tässä täytyy olla. Löydän kyllä APPDATA\LOCAL\TEMP kansiosta sivuston ja tämän poistamalla normikoneella saa ongelman fiksattua, mutta tietenkään tässä tapauksessa ei. Vaikka konet ovat Pooled-tilassa eli ne luodaan aina uloskirjautumisen yhteydessä uudestaan, niin tämä pirulainen tulee silti aina koneille.

    Auttakkee.

  • Matti sanoo:

    Hei vaan!

    Sain äsken poistettua itseltänikin tuon kyseisen otuksen, joten laitetaan tänne nyt raporttia jos jollekin olisi vaikka apua. Eli kyseessä oli skypeksi piiloutunut versio, joka ilman verkkoyhteyttäkin jumitti koneen valkoiseen ruutuun. Vikasietotila ei myöskään auennut vaan sulkeutui saman tien ja kone avautui normaalitilassa. Sain Windowsin auki kuitenkin avaamalla komentorivin vikasietotilassa ja avaamassa sieltä kautta explorer.exen. Asensin Antimalwaren jolla sain poliisit poistettua.

    Toivottavasti on apua jollekulle!

  • Tiina sanoo:

    APUVA! Poliisin kuva on jämähtänyt toisen läppärin sivulle. Olen lukenut konsteja sivuilta, mutta ilman tulosta. olen ladannut ilmoitetun cd:n, että pääsen poistamaan viruksen, mutta ongelma on se et miten pääsen koneen lukemaan cd-asemaa? en pääse muuttaa bios määritelmää enkä mihinkään valikkoon. virheensietotilaan pääsen ainoastaa sinne mustalle pohjalle. sieltä kyllä löysin aseman, missä boottaus on , mutta miten komennan käyttämään sitä?

    • Janne Isokoski sanoo:

      Terve Tiina,
      jos et pääse muuttamaan bios asetuksista käynnistysjärjestystä niin,että kone boottaa ensin cd asemalta niin sitten ei liene muuta vaihtoehtoa kuin ottaa kovalevy irti ja liittää se toiseen koneeseen slave levyksi. Ja sitten tutkia levy esim. antimalware ohjelman avulla.

  • Leo Kylmä sanoo:

    Tervehdys

    Tämmöinen poliisi virus oli pesiytynyt asiakkaan kovalevylle. Ei kuin levy irti, USB:N kautta kiinni toiseen koneeseen ja yllätys, MS essential löysi sen skype.dat tiedostosta.
    Vähän yllätyin, kun olen hieman epäillen suhtautunut ko. virustutkaan.

    T:Leo

    • Janne Isokoski sanoo:

      Tosiaankin yllättävää,että MS Essentials jotain löytää. Minulla on ollut tapauksia jossa Essential on sujuvasti päästänyt poliisiviruksen koneelle… silloin ne ei tosin ollut piilotettu Skype.dat nimiseen tiedostoon. Kiitos infosta :)

  • Kari l. sanoo:

    morjens,
    Minullekin iski tämä paholainen reilu viikko sitten ja hain täältä neuvoja, kiitos! sitkeä versio mutta sain lopulta toissapäivänä muutettua bios asetuksista käynnistymään cd:ltä (mun koneessa startissa painetaan DEL niin pääsin muuttamaan sekvenssiä).
    sitten boottasin f-securen rescue cd:ltä skannin ilman löydöksiä. perään latasin kasperskyn rescue diskin, ja yllättäen haittaohjelmia löytyikin useita. poistin kaikki, käynnistin normaalisti ja ilokseni tämäkin paholainen oli kadonnut! valitettavasti en tutkinut poistettujen listaa tarkemmin(=osannut), jotta pystyisin identifioimaan viruksen.
    mulla ainakin siis kaspersky tehosi :razz:

    • Janne Isokoski sanoo:

      terve Kari,
      kiitoksia tiedosta :) Täytyypä pitää mielessä toi Kasperskyn rescue cd

  • pASI sanoo:

    mALVAREBYTES LÖYSI JA POISTI TIEDOSTON
    ..\appdata\roaming\AltShell.dat
    pOLIISIT HÄVISIVÄT.

  • juhani sanoo:

    morjens, eilen tuli itsellekin toi poliisivirus ja kuuden tunnin jälkeen tyydyin lopulta vain palauttamaan järjestelmän ns. menneeseen aikaan. nyt kiristys-ilmoitusta ei enää tule, mutta kone silti jumittaa siihen malliin, että kyseinen virus taitaa edelleen olla koneessa. olen tarkastanut jo useaan otteeseen malwarebytesillä haittaohjelmien varalta, mutta enää ei löydy mitään. mitähän tässä pitäisi tehdä?

  • Jani sanoo:

    Hei!
    Minullekkin tuli eilen tämä poliisi virus. Enkä saa sitä millään pois. joten luin ohjeita netistä.
    ( pääsin pois lukitusta näytöstä kun painoin virtapainiketta ja sitten nopeasti kun jokin ohjelma ei vastannut niin painoin vain raksista pois nii kone ei sulkeutunutkaan, mutta poliisi lähti pois näytöstä mutta on silti koneessa vielä ). Kun olin lukenut teidän antamia ohjeita niin monessa ohjeessa pyydetään lataamaan joku viruksen torjunta ilmaiseksi, mutta kun lataan sen niin se huomaa tietokoneessani haitta ohejlmia, ja kun painan “korjaa” painiketta niin tulee teksti että joudun ostamaan kokoversion. Joten pitääkö minun ostaa koko versio jostakin viirus torjunta ohjelasta? kiitos jo näin etukäteen.

    • Janne Isokoski sanoo:

      Terve Jani,

      ainakaan Malwarebytesin Antimalware ei maksa mitään, samaten F-securen Online scanner on ilmainen. Molemmat ovat varsin toimivia ohjelmia, itse olen molempia käyttänyt useasti muun muassa tämän “poliisiviruksen” poistamisessa.

  • tOUKO sanoo:

    KIUSALLINEN TUO POLIISI.
    kIITÄN KAIKKIA TÄLLÄ PALSTALLA KOMMENTOINEITA.
    tUON ANTI-MALVAREN KANSSA LÖYSIN POLUSTA C:\USERS\VIERAS\APPDATA\ROAMING \SKYPE.DAT
    aNTI-MALVASRE POISTI SEN JA PYYSI KÄYNNISTÄMÄÄN KONEEN UUDELLEEN.
    pOISTIN VIELÄ SEURAAVAN SKYPE.INI -TIEDOSTON. NYT VIERAS -TILIKIN TOIMII TAAS.

    kÄYTTIS ON 7 PRO. eSSENTIALS EI ESTÄNYT, EIKÄ LÖYTÄNYT TÄTÄ.

    PS. TÄHÄN KIRJOITTAESSANI KONE EI ANNA KUIN ISOJA KIRJAIMIA :sad:

  • jani sanoo:

    Tullu taas vissiin uus versio tuosta. Hetki sitten tuli koneelle. Kyseistä poliisi ikkunaa ei saa pois mtenkää. Useaa eri ohjetta olen koittanut. Postin koko temp hakemiston. Roamingista lähti skype. Ainoa tapa on käynnistää kone safe modessa command promtin kanssa. Jos käynnistää safe mode with networking niin boottaa automaattisesti kun kirjautuu windowssiin.

    • Janne Isokoski sanoo:

      Moro,

      oletko kokeillut F-securen Rescue cd:lla ? Jos et niin käy lataamassa se F-Securen sivuilta ja polta cd:lle ja boottaa kone levyltä verkkopiuha kiinni. Jos tuo ei poista “poliisia” niin ei kai auta kuin ottaa saastunut levy irti ja laittaa se toiseen koneeseen slaveksi ja tutkia sitten levyn sisältö. Toivottavasti saat koneesi taas iskuun ilman uudelleenasennusta!

  • IDA sanoo:

    MULLA LUKITTUI KONE JUURI EILEN, OLEN IHAN TOIVOTON KONEIDEN KANSSA JOTEN KIITOS TÄSTÄ OHJEESTA, SAIN TÄÄLTÄ HYVIÄ VINKKEJÄ.
    ELI MINULLE TULI SELLAINEN VERSIO TÄSTÄ VIRUKSESTA JOSSA VAADITTIIN TEKIJÄNOIKEUSRIKKOMUKSISTA 100E SAKKOA. MITÄÄN NÄPPÄINTÄ EI VOINU PAINAA JA TÄMÄ VALTASI SIIS KOKO RUUDUN. NETTIYHTEYDEN KATKAISEMINEN EI AUTTANUT VAAN ONGELMA JATKUI VAAN.
    SAIN JOTENKIN (EN MUISTA MITÄ RÄMPYTIN :d) NIIN KONEEN AUKEAMAAN VIKASIETOTILASSA JA SIELTÄ OHJAUSPANEELISTA TEIN JONKUN WINDOWSIN PALAUTUKSEN. TÄLLÄ SAIN ONGELMAN KORJATTUA MUTTA KUN F-SECURELLA TARKISTUTIN KOKO KONEEN LÄPI, EI NUO TIEDOSTOT OLLUT KUMMINKAAN POISTUNUT. MUTTA SAIN SITTEN SITÄ KAUTTA POISTETTUA NE KUITENKIN. JA NYT KONE TAAS PELITTÄÄ!
    KAUHEITA NÄMÄ VIRUKSET!

  • Joe sanoo:

    Sama virus isäni koneessa. Poliisivirus ilmestyi kun wlan oli päällä, vaikkei tietokone ollut vielä edes netissä (wlan suojausavain syöttämättä).

    Laitoin wlanyhteyden pois tietokoneen näppäimistön kautta. Löysin temp kansiosta MpCmdRun-nimisen tiedoston joka oli muokattu viimeeksi viruksen ilmentymisaikaan. Muutin sen nimen ja laitoin wlanin päälle + yhdistin koneen nettiin, poliisit ei ilmestynyt.

    Tämän jälkeen latasin malwarebytes-ohjelman ja samaan aikaan tutkin Users-kansiota, josta löysin “sovelluslaajennuksen” nimeltä 6588192.dll sen luontipäivämäärä ja aika sopi poliisiviruksen ilmaantumisajankohtaan. Myös malwarebytes tunnisti tämän haittaohjelmaksi. Poistin ohjelman malwarebytesilla. Nämä vaikuttaa korjanneen ongelman.

  • TN sanoo:

    Iski tuollainen Poliisivirus muutama päivä sitten. Ilmeisesti Venäläiseltä sivulta ladatun pdf tiedoston mukana tai sitten samalla kun klikkasin sivulla ollutta banneria. Oli sellainen perinteinen vaatimus 100eur maksusta ja hieman heikolla suomenkielellä kirjoitettuna. Kone oli täysin lukossa. Edes vikasietotilassa ei päässyt sisään. Käynnistyksen yhteydessä kun kun painoi f8 niin pääsi valikkoon josta sai valittua tuon vikasietotilan tai jonkin muun tavan sisäänkirjautumiseen. Jos valitsi vikasietotilan niin kone alkoi yrittää kirjautua Windowsiin mutta sammutti itsensä heti sen jälkeen. Sama tapahtui jos sisään yritti millä tahansa muullakin tilalla. Tuon poliidsi tekstin ruudussa ollessa ctrl+alt+del toi sekunniksi näkyviin jonkin ruudun mutta se meeni heti uudelleen piiloon eikä siinä saanut tehtyä mitään. F-securen cd:n poltin toisella koneella mutta siitäkään ei ollut apua. Ongelma lähti purkautumaan kun otin verkkokortista piuhan irti. Sen jälkeen pääsi sisään järjestelmänvalvojan tunnuksella mutta vain komentokehote tuli näkyviin. Aloin etsimään tiedostoja jotka on tallennettu sinä päivänä kun ongelma ilmeni ja kansiosta documents and settings\username\omat tiedostot löytyi kaksi tiedostoa joissa oli tuo kyseinen päivä. tiedostojen nimet 139d2e78.exe ja sama .dll päätteisenä. muutin noiden nimet (rename 139d2e78.exe 139d2e78_exe) ja käynnistin koneen uudelleen virtanapista painamalla. Ei tullut enää poliisia mutta ei kyllä sitten mitään muutakaan. Ainoastaan windowsin taustakuva näkyi. ctrl+alt+del toimi ja jotenkin sain taas koneen siihen komentokehote tilaan. siirryin windows kansioon ja kirjoitin: explorer tämä käynnisti jotain ja kaikki kuvakkeet ilmestyi työpöydälle ja käynnistävalikko näkyviin. Itsellä kun ei taidot ole kovin kummoiset niin en sitten tiedä että mitä loppujenlopuksi tein, sitä kun epätoivoisena rämppää vähän kaikkea siinä yrittäessään. Mutta tuo tiedosto ilmeisesti oli oikea kun sen uudelleen nimeäminen poisti poliisi ongelman. Eikä ollut temp kansiossa. Vaikeaa meinasi ensin olla kun ei meinannut löytyä keinoa päästä koneelle sisään tekemään mitään. Tuossa poliisi tilassa windows-näppäin + L-näppäin toi ruutuun valikon jossa olisi voinut vaihtaa käyttäjää. Salasanat eivät kelvanneet millekään käyttäjälle vaikka olivat oikein. Nyt on tiedostot tallessa, saa nähdä saako koneen vielä puhtaaksi.

  • Antti Nylund sanoo:

    Tyhjennettyäni USB-linuxilla TEMP KANSION SAIN KÄYNNISTETTYÄ WINDOWSIN (7) ILMAN ETTÄ SE MENI LUKKOON. mALWAREBYTES LÖYSI VIELÄ TÄMÄN:
    Registry Values Detected: 1
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent.RNS) -> Data: explorer.exe,C:\Users\XXXXX\AppData\Roaming\skype.dat -> No action taken.

  • ! sanoo:

    Tänään pamahti tuo pirulainen koneelle. Meni muuten täysin jäihin koko masiina. sain korjattua kuitenkin seuraavalla tavalla:
    - latasin vieras-käyttäjätunnuksena kirjautuneena spyhuntterin.
    - Ajoin tarkastuksen ja löysin Altshell.dat-tiedoston
    - Ohjelma ei anna poistaa ellet osta sitä, joten klikkaa virusta ja avaa kansio missä tiedosto sijaitsee
    - muuta altshell.dat:in nimi

    Ja läks toimimaan.

  • olavi siili sanoo:

    hei
    mistä näitä poliiseja tulee? Kuka niitä kehittelee? täytyy olla joku suomalainenkin, koska osa poliisiviruksista on hyvää suomenkieltä.
    eikö näille hyökkäyksien aiheuttajille löydy mitään osoitetta tai muuta tunnistetta. ehkä jotain on löydettävissä, mutta ei haluta näihin puuttua.
    ehkä tässä, kuten monessa muussa tapauksessa, voi kysyä qui bono? :evil:

    • Janne Isokoski sanoo:

      Terve Olavi,
      jos en aivan väärin muista niin olisikohan jo ensimmäisen polven “pollisiviruksen” tekijät otettu kiinni mutta itse haittaohjelma uusiutuu koko ajan jonkin verran joten tekijätahoja lienee sitten useampia ympäri maailmaa. Ulkoasun kieli on tosiaan nykyään paljon ensimmäisiä versioita parempi joskin kyllä sieltä vieläkin pikkulapsuksia löytyy :)

      En tiedä jahdataanko näitä kehittätahoja miten aktiivisesti, kyllä kai jälkiä pystyisi jollain muotoa seuraamaan? ja nyt kun kävin googlaamassa tilannetta niin Iltalehdessä oli alkuvuodesta tällainen uutinen:
      http://www.iltalehti.fi/digi/2013021416676308_du.shtml
      Espanjan poliisi ja Europol nappasivat eilen Espanjassa kiinni rikollisryhmän, joka levitti haittaohjelmaa myös Suomeen.
      “Virusta on levitetty mainosbannerien kautta ja pääsääntöisesti aikuisviihdesivustoilla, mutta sitä on tavattu myös esimerkiksi kansainvälisten jalkapallojoukkueiden sivustoilla.
      Sivustojen ylläpitäjät ovat usein syyttömiä haittaohjelman levittämiseen. Mainostilan välittää – mahdollisesti harmaalla alueella toimiva – kolmas taho, joka myy mainostilaa rikollisille.
      Ohjelman taustalta löytyy taas vanha tietoturvayhtiöiden ja -viranomaisten murheenkryyni Oraclen Java, jonka haavoittuvuutta poliisivirus käytti hyväkseen.
      - Javan poistaminen auttaa, juttua tutkinut rikosylikonstaapeli sanoo.”

      -> Sitä en osaa lähteä arvioimaan hyötyykö tästä joku muukin kuin haittaohjelman kehittäjät ja levittäjät ;)

  • Lauri sanoo:

    Täällä myös tuli tänään tuo virus. Paljon hyödyllisiä ohjeita, nämä toimivat minulla:

    Bootissa F8 ja käynnistys vikasietotilaan. Kirjauduin toisella Administrator-käyttäjällä (eri kuin saastunut käyttäjätili, joten kirjautumaan pääsi ongelmitta vikasietotilassa).
    C:\Documents and Settings\Käyttäjä\Local Settings\ kansiossa oli skype.dat ja tämän tuhoamalla lähti ilmoitus ja konetta pääsi käyttämään.

    Jostain syystä F-securen tai Pandan tai Microsoftin scannerit eivät tuota löytäneet. Ongelmaa helpotti kun vikasietotilassa ajoi msconfig ja otti aivan kaikki käynnistyksestä pois. Tämän jälkeen kun saastuneelle koneelle kirjautui, ja HETI painoi ctrl+alt+del niin task managerissa ehti nähdä vilahtavat skype.dat ja sitten meni kone lukkoon (ohjelmia oli näin tehden kymmenkunta joten diagnosointi oli helppoa).

    Vielä ei ole selvinnyt, missä tuo linkki oli, joka ohjelman käynnisti… etsintä jatkuu.

  • jaska sanoo:

    Moi. sain eilen tuon paholaisen omalle koneelle. näytössä pelkkää valkoista kun olin netin katkaissut eikä yllä olevat keinot toimineet. palautin järjestelmän aikaan ennen kuin virus oli tullut koneeseen ja sitten sain sen päälle. miten saan nyt viruksen poistettua tai ehkäistyä koneeltani?

    • Janne Isokoski sanoo:

      Moi,

      nyt jos koneesi toimii niin tarkista koneesi varmuuden vuoksi Malwarebytesin Antimalwarella tai F-Securen Easy Clean ohjelmalla. Voi toki olla ettei löydy mitään koska olet palauttanut koneesi aikaan ennen kuin virus iski. Mutta kannattaa nyt tarkistaa varmuuden vuoksi…

  • risto sanoo:

    Moro,
    Mulla saa käynnistettyä vain vikasietotila ja komentokehote tilaan. Mutta noi cert.fi ohjeet ei auta. Mitä tuohon ekaan kenttään pitää kirjoittaa siis ensimmäinen kenttä on järjestelmänvalvoja: cmd.exe

    Jos tuohon kirjoittaa cd %Userprofile% niin se vain antaa seuraavan tekstin siihen alad että C:\users\koti>

    Tämän jälkeen tulee ongelma miten saada tiedostot näkyviin. Käyttis on suomenkielinen w7 ja virastonnohjeet
    Ei toimi..

    R

  • RP sanoo:

    ratkaisin ongelman käynnistämällä koneen vikasietotilassa. sitten “all programs” ja sieltä “startup” kansio. poistin tiedoston jonka nimi oli pitkä ja siansaksaa.

  • Saana Solla sanoo:

    Olen pahoillani capsista, ei anna kirjoittaa muulla. No kuitenkin, tuli koneelle tuo eilen ja kun en mikään tietokonenero niin ajattelin että tässä tämä sitten on. Kokeilin kuitenkin ensin itse korjata ja kumma kyllä, onnistuin. Sammutin koko koneen ja avasin sen vikasietotilassa siten että olin kuitenkin verkossa. Latasin koneelle malwarebyten ja tein sillä tuli scanin. Tunnin myöhemmin full scanin jälkeen poistin ohjelman löytäneen viruksen ja käynnistin koneen uudelleen, nyt toimii moitettomasti ja asennetuissa ohjelmissa ei mitään eipäilyttävää jäljellä.

    • Janne Isokoski sanoo:

      Terve Saana,
      hieno homma, että sait koneesi taas toimimaan :) Malwarebyte on hyvä ohjelma, tämän haittaohjelman kanssa jopa loistava.

  • mari sanoo:

    Itselleni tuli tänään tuo poliisijuttu virus ja tietokone lukittui.
    Painelin sitten eri sivujen ohjeiden mukaan f8 ja atrl+alt+del jne.ja nyt kun avaan tietokoneen,se kysyy käyttäjän ja saan laitettua sen sinne ja sitten painettua ctrl-alt-del,jonka jälkeen saan valittua käynnistä tehtävienhallinta,jonka jälkeen näyttö tulee harmaaksi,eikä tapahdu enää mitään…en ymmärrä yhtään tietokoneista eli mitä pitäisi nyt tehdä??Kaikki koulujutut koneella ja pitäisi saada tietokone toimimaan tosi pikaisesti.

  • A-P sanoo:

    Edellisen kerran POliisivirus iski koneeseeni joulukuussa. Sain poistettua sen silloin mbam malwarebytes-ohjelmalla.

    sama haittasofta iski tänään uudelleen. yritin heti poistaa samaisella softalla, mutta eipä löytänyt mitään. seuraavaksi ajoin ccleanerin. se poisti ongelman.

    Mikähän versio tuosta poliisista on nyt liikenteessä kun tämä versio ei blokannut koko konetta tilttiin. poliisi-ilmoitus oli vain yhdessä selaimen ikkunassa, joka ei antanut sulkea itseään. muuten konetta pystyi käyttämään normaalisti koko ajan.

  • joni hyrkäs sanoo:

    MINULLA ON WINDOWS 8 JA MOKKULANA TOIMII PUHELIN. MINULLE ILMESTYI TÄMÄ “SELAIMESI ON LUKITTU” SIVU, JA TÄTÄ SIVUA EI PYSTYNYT SAMUTTAMAAN. TIETOKONETTA PYSTYI KUITENKIN KÄYTTÄMÄÄN NORMAALISTI, ETSIN VIRUKSIA FSECURELLA, ESETILLÄ JA MALWAREBYTESILLÄ MUTTA MITÄÄN EI LÖYTYNYT, SAMMUTIN KONEEN JA TSADAA SIVU OLI HÄVINNYT. SITTEN ETSIN C ASEMALTA EPÄILYTTÄVIÄ TIEDOSTOJA JA LÖYSINKIN “BOOTSTAT.DAT” NIMISEN TIEDOSTON JONKA MUOKKAUSAIKA NÄYTTI TÄSMÄÄVÄN SIVUN ILMESTYMIS AJANKOHTAAN, POISTIN TIEDOSTON. MUTTA KUTEN HUOMAATTE NIIN en pysty kirjoittamaan kun isoilla kirjaimilla. Mikä avuksi???

  • joni hyrkäs sanoo:

    näköjään pystyy kirjoittamaan pienilläkin kirjaimilla jos painaa SHIFTIN POHJAAN :D

  • joni sanoo:

    korjaus: toimii näköjään kaikkialla muualla normaalisti tekstin kirjoitus mutta tähän KIRJOTTAESSA EI TULE KUIN ISOILLA KIRJAIMILLA

  • Late sanoo:

    Tänään tuli tollanen sivu vastaan mullekkin.
    F-secure ja cc-cleaner ajettu ei löytynyt mitään.
    Kone toimii normaalisti. Ei ilmota tuota sivua.
    Onkos mulla koneessa kaikki kunnossa?