Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Pani Krysia z księgowości – odcinek 13: Wtargnięcie(UKASH, Polska Policja Zablokowała Komputer)

Wyłamuje drzwi kopiąc w nie z buta, rozsiadam się w Twoim królestwie, pozbawiam dostępu do świata, blokuje dostęp do wszystkiego i straszę policją. Tak właśnie zachowuje się infekcja o nazwie UKASH, która atakuje systemy z rodziny Windows, jej znakiem szczególnym jest „Polska policja zablokowała komputer”. Wirus ten zmusza do zapłaty sporej ilości gotówki aby wygenerować kod, który odblokuje nasz komputer.

Jednak fakty są takie, że to zwykłe oszustwo, płacić nie trzeba, wirusa można usunąć w inny sposób i nie należy panikować. Ciężko tu o jakąś konkretną historię bo zdarza mi się usuwać tego typu infekcje przynajmniej raz w miesiącu, ale powiedzmy, że ramą do wszystkiego będzie pierwszy raz w pracy kiedy musiałem z tym walczyć. Muszę jeszcze nadmienić, że pierwszy raz w pracy nie był tym pierwszym w ogóle, bowiem jeśli chodzi o informatykę to usuwanie infekcji jest jedną z moich mocniejszych stron.

I zanim zacznę główny wątek to wykorzystam okazje, że jesteśmy przy tym temacie. Swoją wiedzę na temat usuwanie infekcji opieram na tym co na swoich forach wyczyniała niejaka Picasso. Dzięki czemu tak banalny wirus jakim jest UKASH nie jest dla mnie żadnym problemem. Także przy okazji pozdrowienia i podziękowania. :*

No dobra ale dosyć tego braku skromności i wazeliniarstwa. ;p Naszym dzisiejszym bohaterem jest laptop Samsung R540, jako, że tych dalszych cyferek nie pamiętam to dodam, że miał na swoim pokładzie procesor z serii I3, 4GB Ramu, jakąś mobilną grafikę ATI z serii 5 i Windows 7 HP. Taki zwykły i przeciętny sprzęt. Gdyby chodził do szkoły to jego mama by słyszała na wywiadówkach teksty w stylu: „to spokojne dziecko, nigdy nie sprawia problemu, dobrze się uczy i ma wielu kolegów”.

Jednak jakieś problemy się zaczęły, co prawda nie z jego winy, ale całkowicie uniemożliwiały pracę. Ponieważ po włączeniu laptopa i załadowaniu się systemu operacyjnego od razu wyskakiwała tabela/plansza informująca, że rzekomo Polska policja zablokowała komputer. Aby dodać powagi sytuacji wstawiono jeszcze zdjęcie policjanta z wąsem. Nie powiem, kogoś kto nie ma pojęcia i nie jest specjalistą to ma prawo wystraszyć i zaniepokoić.
Ale bez paniki komputer wylądował w moich rękach i od razu przeszedłem do ratowania. Myk do trybu awaryjnego i… A on sobie nie działa – został zablokowany przez infekcje, co prawda działa tryb z wierszem poleceń, ale ja nie korzystam z tego. Do wywalenia syfu z systemu, którego nie da się uruchomić używam płytki z OTLPE, którą boot’uje zamiast zwykłego systemu.

Na owej płycie jest program o nazwie OTL, dzięki któremu możemy zrobić raport i dowiedzieć się co tam zagościło w naszym systemie. Po otworzeniu się dwóch plików w notatniku jesteśmy w domu. Kilka rzeczy usuwamy(martwe usługi, wpisy z autostartu, syf przyczepiony do powłoki, coś tam w rejestrze się czasem znajdzie, itd)… Następuje zwolnienie blokady… Tzn. Restart i logujemy się do naszego systemu. I mamy radość Ukash zniknął, ale dla mnie to nie koniec jeszcze trzeba zrobić porządki, poprawki i pozostawić sprzęt w stanie bliskim idealnemu.

Mam tu na myśli usunięcie zbędnych pasków w przeglądarkach, aktualizacja oprogramowania(przeglądarek, flasha, Javy itp.), czyszczenie plików tymczasowych i upewnienie się czy infekcji na pewno żadnej innej infekcji nie ma(najczęściej po przez skanowanie poprzez Mawarebytes Anti Malware/Malwarebytes Anit Rootkit). Dodatkowo moja mała procedura obejmuje czyszczenie punktów przywracania i zrobienie nowego.

A jeśli czas pozwala i laptop może zostać na troszeczkę dłużej niż kilka godzin to odwiedzam także Windows Update i uzupełniam ewentualne poprawki w systemie. Kiedy wszystko jest na błysk sprzęt może powrotem wylądować w rękach klienta. Całość operacji jest wyceniana na jeden banknot z Kazimierzem III Wielkim(ale to też zależy dla kogo i na jakich warunkach). Klient prywatny zawsze może liczyć na taką cenę. Tadam, interwencja zakończona.

Tutaj lista kolegów, którzy mi pomagają:

OTL/OTLPE

ADWcleaner

Produkty Malwarebytes

TFC by oldtimer

Stanowczo odmawiam i sam unikam stosowania Combofixa w takich sytuacjach. Co prawda poradzi on Sobie z tym, ale to nie jest uniwersalne narzędzie. Znajdzie się kilku, którzy polecają CF’a na lewo i prawo ale to tylko świadczy o ich nie znajomości tematu i kiedyś przekonają się, że taki idealny to On nie jest.

Jeszcze kwestia korzystania z OTL’a: wiele osób prosi o instrukcje do tego, bądź też próbuje korzystać z gotowych skryptów przygotowanych dla innych. Obie sytuacje to głupota, otl też nie jest dla każdego. Powiem tak na swoim przykładzie: ja też żadnej instrukcji do OTL’a nie miałem(jako taka została udostępniona jakieś dwa lata temu). Trzeba po prostu wiedzieć co jest czym w systemie, jak działa i co się z tym je. Z poszerzoną znajomością Windowsa jesteśmy wstanie ogarnąć także inne skryptowe programy.

Jak już wspominałem ja swoją wiedzę zdobywałem na forach Picasso, przeglądając raporty i innych i patrząc i czekając co Ona z tym robi(trochę na zasadzie analogii), reszta to już poznanie środowiska, odrobina zaangażowania i kilka testów na maszynie wirtualnej. Zdobyte umiejętność usuwania infekcji i zbędników mocno mi się przydały w pracy i nie odkryje ameryki, że więcej rzeczy, które przydają mi się w pracy nauczyłem się na podstawie internetu niż w szkole.
I tym akcentem zakończymy.

Wszystkie wpisy & FAQ 

windows sprzęt oprogramowanie

Komentarze

0 nowych
Over   9 #1 31.08.2013 14:15

Nie napisałeś jak rozwiązałeś problem i jaka metodą a to by się przydało...
Tekst w stylu, Dzisiaj pojawił mi się BSOD ale mam core i5 i 8 gb ramu i jakoęś tak sie potoczyło że problem sam się rozwiązał :)

siw   7 #2 31.08.2013 15:01

Napisałem przecież. Uruchomiłem OTL z bootowalnej płyty, zrobiłem logi i usunąłem sobie wpisy odpowiedzialne na wyświetlanie tego wirusika przy starcie. :D

  #3 01.09.2013 10:13

MBAM radzi sobie z tym bez problemów :-)

kwpolska   5 #4 01.09.2013 12:10

Ukash to nazwa bogu ducha winnej usługi, nie wirusa.

siw   7 #5 01.09.2013 12:12

Goście od Hijacka przespali i przestali go rozwijać. W porównaniu do Otl,a jest wstanie bardzo mało pokazać. Ostatni update był w 2010 roku.

OTL też powoli umiera i Picasso przesiada się powoli na FRST.

siw   7 #6 01.09.2013 12:14

kwpolska-> Wirus nazywa się weelsof, a z jego nazwą jest tak jak np z tym, że na każde obuwie sportowe mówi się potocznie "Adidasy".

Acorus   8 #7 01.09.2013 12:34

A my to usuwamy społecznie czyli za friko.

ziupo   6 #8 01.09.2013 13:50

Może nie zauważyłeś, ale jednocześnie odradzasz CF i polecasz inny produkt tej samej firmy, którym CF posiłkuje się podczas pracy. Hmm...

siw   7 #9 01.09.2013 14:53

Ziupo-> Co masz na myśli bo nie kojarzę?
Powiedziałem, czemu odradzam CF'a A to, że ludzie za niego odpowiedzialni stworzyli coś innego to nie znaczy, żeby od razu to skreślać.

To tak jakbyś odradzał Mercedesa S klasy, jeździłeś A klasą i stwierdziłeś, że to model nie dla Ciebie.

Shaki81 MODERATOR BLOGA  38 #10 01.09.2013 15:32

Ja niedawno dostałem lapka z Ukash i żadne znane mi sposoby nie dały rady. Albo ja jeszcze za mało wiem o tym diabelstwie, albo coś było skaszanione do granic możliwości. No i niestety bez formata się nie dało.

  #11 01.09.2013 16:29

@Shaki81
"Ja niedawno dostałem lapka z Ukash i żadne znane mi sposoby nie dały rady. Albo ja jeszcze za mało wiem o tym diabelstwie"
Odpowiednie operowanie kombinacją shift+del na pewno usunie tego wirusa, czasami przyda się live cd Afrykańskiego Debiana, gdy tryb awaryjny jest niefunkcjonalny.

Rychu_z_Pragi   4 #12 01.09.2013 16:38

@siw: "Swoją wiedzę na temat usuwanie infekcji opieram na tym co na swoich forach wyczyniała niejaka Picasso."

Doprecyzuję:
1. Swoje własne i jedyne forum Picasso posiada od maja 2010 roku, gdzie jest wraz z mężem Administratorem.
2. Inne wcześniejsze forum na którym udzielała się nie było jej, aczkolwiek wykonała tytaniczną pracę na jego rzecz.
3. Skoro powołujesz się Picasso i z Twoich wywodów wynika, że swoją wiedzę w temacie "wirusy" zawdzięczasz tejże kobiecie i jej forum - to przyzwoitość nakazuje podanie tego forum, choćby dlatego aby inni mogli skorzystać z jej przeogromnej wiedzy.
Dlatego pozwolisz, że uczynię to za Ciebie, kładąc to na karb Twego roztargnienia. Forum Picasso to: http://www.fixitpc.pl

A tak w ogóle: Ładujesz ostatnio Panią Krysię do każdego swojego wpisu, choć ani razu jej w tekście nie wymieniasz. Czy nie lepiej jednak popełniać wpisy bez tej pani i nie wycierać sobie nią przysłowiowej gęby?

@Shaki81: "Albo ja jeszcze za mało wiem o tym diabelstwie..."
Wyjdź z zaścianków czasami i popatrz po innych forach. Choćby na takie jak wyżej :P

siw   7 #13 01.09.2013 17:31

Drogi Ryśku z Pragi.
Ależ znam historię poczynań Picasso wiem co i na jakich forach robiła.
Podałbym, że była Modem na http://searchengines.pl/ i teraz jest właścicielką fixitpc.pl, ale nie wiem czy za bardzo mogę, albowiem DB też ma swoje forum na którym również udzielają pomocy z wirusami i sprzętem.
Więc jakby nie było konkurencja. :P
I o ile Picasso nie zarabia na tym co robi to już DB liczy kasę.
A wiesz ja nie chce redakcji za bardzo podskakiwać, bo i tak już ich zjechałem za pasek narzędzi i brak rekcji, a jeśli mam możliwość pisać na blogu to wolałbym, żeby ta możliwość nie została mi zabrana. ;)

siw   7 #14 01.09.2013 17:34

Czemu nie mogę edytować?
Źle odbierasz Panią Krysię, to postać fikcyjna - nazwa mojego cyklu, poczytaj FAQ.
Szczerze mówiąc to w pracy nie ma żadnej Pani Krysi w żadnym dziale księgowości. :D

PAMPKIN   11 #15 02.09.2013 09:05

O kurcze, czytam o sobie!

WODZU   17 #16 02.09.2013 17:44

Wpis fajny i przydatny, ale żeby już w pierwszym wyrazie walnąć błąd? Wyłamuje -> Wyłamuję, skoro chwile później jest "rozsiadam się" :)