Archivado en | Vida Cotidiana

Otras formas de eliminar el virus de la policía [la experiencia de los internautas]

Publicado el 05 mayo 2013 por manuguerrero


pantallazo virus

Desde que publiqué el primer artículo sobre cómo eliminar el virus de la policía, miles de usuarios han pasado por aquí y han compartido la solución con la que han eliminado el troyano de su ordenador, ya que existen múltiples mutaciones y distintos sistemas operativos. Para facilitar la tarea a los nuevos infectados he decidido insertar aquí los comentarios que, a mi juicio, os pueden ser más útiles. Por supuesto, muchas gracias a todos:

Amandacarta:

1. Apagar el ordenador y encender a prueba de fallos (F8).

2. Modo seguro.

3. Panel de control y restaurar el equipo en un punto anterior en que funcionase bien. Problema resuelto

Natas123:

1. Iniciamos el Windows en modo prueba de fallos y con funciones de red con F8.
2. Descargar la utilidad Malwarebytes Anti-Malware que es gratuita.
3. Haces un escaneo rápido y te encontrara el virus, la utilidad lo elimina y reinicia el pc.

Salva:

1. Arrancar en modo seguro con símbolos del sistema.

2. A) Para Windows 7: 2.1 Escribir “cd restore” y pulsar Enter. Escribir “rstrui.exe” y pulsar Enter. B) Para Vista: Escribir “C:\windows\system32\restore\rstrui.exe” y pulsar Enter.

3. Seleccionar una fecha para recuperar el sistema y comenzar.

4. Después de reiniciar, escanear el sistema con Malwarebytes Anti-Malware.

Aconsejo este procedimiento para aquellas personas que, como yo, hayan tenido los siguientes problemas:

-El modo seguro y el modo seguro con funciones de red no funcionan porque el virus causa que el sistema se reinicie.

-Kaspersky Rescue Disk no reconoce el disco C y/o no tiene acceso a internet.

-Para el modelo Asus A55V, la recuperación del sistema no está accesible por el método de pulsar F9 al encender el equipo. En este caso, nos da la opción de “ASUS Preload Wizard”, que recupera el sistema a su estado de fábrica, borrando todos los datos del disco duro.

Helio:

Entrando mediante la USB, pasé el Kaspersky rescue 10 como tres veces pero no me lo quitaba, hasta que vi un comentario sobre actualizarlo. Pues bien, no podia actualizarlo porque no me conectaba a la Wifi y cai en enchufarlo con un cable de red y TACHAAAAANN, el kaspersky actualizado y entonces sí me lo ha detectado y eliminado.

Una vez entrado he hecho otras cosas que habéis posteado como desabilitar los programas de inicio de windows, eliminar archivos temporales de windows, también los de tu usuario, pasar el Malwarebytes actualizado, instalar otro antivirus, etc. Es importante utilizar hardware que no dependa de USB ya que el dichoso virus los tiene bloqueados.

Evita:

Primero pasé el Kaspersky. Después de realizar un apagado no ordenado, te da la opción del Restore. A priori no me pudo restaurar el último punto de configuración correctamente, pero al menos ya me dejó arrancar sin mostrarme la dichosa pantalla de la policía. Luego le pasé el Panda Live CD y no detectó nada. Pero como no me fío, sin conectarme a la red, pasé el MalwareBytes que detectó 4 amenazas y el Superantispyware, que detectó 8. Una vez borradas los volví a pasar para cerciorarme de que efectivamente los había borrado y perfecto. Limpio. Sinceramente, creo que el Superantispyware fue el que acabó con el maldito bicho. Suerte.

Anónimo:

Sirve para Windows 7:

1. Nada más encender el ordenador pulsar F2.

2. Cuando se abra una pantalla donde elegir como ejecutar el ordenador, pulsar F8.

3. Saldrá una gran lista de opciones, elegir la primera (Restaurar el equipo).

4. Elegir idioma (Español) y usuario. Escribir contraseña de usuario si es necesario.

5. Aparecerá una ventana (Opciones de recuperación del sistema). Elegir la opción “restaurar sistema”.

6. Siguiente.

7. Elegir “Mostrar más puntos de restauración” y hacer click en alguna opción anterior a la fecha en la que se descargó el virus. Ej.: Si el virus se descargó el 6/02/2013 elegir una opcion de por lo menos un día anterior (05/02/2013).

8. Clicar en “finalizar” y “Sí”. Recuerda que la restauración no podrá detenerse después de empezarla, pero no hay que preocuparse, no toca ningun archivo o dato personal.

9. Una vez que la restauración ha finalizado, reiniciar el equipo.

Funciona con Windows 7 y con Windows Vista.

Rafa Navarro:

Tengo XP y la versión que me entró no me permitía entrar en modo a prueba de fallos. Desde otro ordenador me bajé el Karspersky 10, que es un archivo ISO que grabé como imagen de disco en un CD. En la Bios del ordenador confirmé que para arrancar primero busca un DC y luego el disco duro. Metí el disco y arranqué entrando en el programa de karspersky. Lo hice con el cable de red puesto (sin conexión a internet no se puede actualizar y no elimina el virus-comprobado). Da la opción de actualizar, y hay que hacerlo. También se puede entrar en los discos duros y copiar a un usb lo que se quiera.

Una vez actualizado le di al “scan”, cuando acabó y según escribió Darioc busqué la opción «console” y tecleé windowsunlocker. Da tres opciones y depuerar, copiar boot y salir, creo. Le di a la primera y parece que limpia el registro.

Con eso he reiniciado (sacando el CD antes) y he podido entrar a mi ordenador.

Troner:

Windows Vista versión 6.0.6002

1.  Arrancar en modo seguro con símbolos del sistema.
2.  A) Para Windows 7: 2.1 Escribir “cd restore” y pulsar Enter 2.2 Escribir “rstrui.exe” y pulsar Enter. B) Para Vista: Escribir “C:\windows\system32\restore\rstrui.exe” y pulsar Enter pero en mi caso con mi versión de sistema operativo el comando era “rstrui.exe” el cual sólo me dejaba una fecha de restauración que era posterior a la entrada del virus (Creo que una falta de espacio en el disco duro impedía guardar mas fechas anteriores).

Laura:

1.  Guadar en una usb el polifix.exe.

2. Reiniciar su computadora y mantener f11 o f12 y Arrancar en modo seguro con símbolos del sistema.

3.  Buscar su usb puede ser f: o g: … y dar luego dir y asegurarse que ahi esta el archivo polifix.exe

4.  Escribir polifix.exe

Se iniciará el antivirus y solo falta esperar un par de minutos.

El gusano:

Os cuento cómo lo he eliminado. Primero, entro en modo seguro, sin red. Luego en entro a msconfig y busco el archivo en el menu ‘inicio de windows’ el archivo desconocido. Si no estáis seguro, el archivo suele alojarse en appdata/roaming…..start . Pues ahí se elimina. (Tenéis que activar los archivos ocultos).

Luego ejecutáis %Temp%y borráis todo lo que se pueda. Limpias también todos los temporales de internet. Reiniciáis y ya está.

Daniel:

Con Windows 8:

Será necesario arrancar la PC en “Modo Seguro”, para eso con windows 8 hay que seguir estos pasos:

1.  Colocar el cursor en la esquina inferior derecha (aparece un menú, seleccionar “Configuración” en un ícono en forma de engrane).
2.  Dar click en “Cambiar configuración” (Parte de abajo)
3.  Dar click en “Uso General”.
4.  Ir hacia abajo hasta “Inicio Avanzado” y dar click en “Reiniciar ahora” (la PC se reinicia).
5.  Dar click en “Solucionar Problemas”.
6.  Dar click en “Opciones Avanzadas”.
7.  Dar click en “Configuración de Inicio”
8.  Dar click en ” Reiniciar”
9.  Seleccionar: 5 Habilitar modo seguro con funciones de red.

De esta forma la PC arranca en Modo Seguro y el virus policia no se activa.

10. Descargar de la red el programa “Malwarebytes” en otra PC y hay que instalarlo en “Modo Seguro” en la que está infectada con una USB. (Polifix la verdad no me funcionó en Windows 8).
11. Correr el programa y estar conectado en Internet para actualizarlo.
12. Seleccionar “Análisis Completo”
13. Dejar que haga el escaneo completo (como 2 horas después), seleccionar “Mostrar resultados”.
14. Seleccionar los archivos que parezcan sospechosos, ya que también selecciona como objetos a los “keygens”, a estos si lo considera pertinente quitar de la selección.
15. Dar click en “Eliminar”, la PC pedira reiniciarse por lo que hay que aceptar.
16. Arrancar de modo normal, el virus policia debe quedar eliminado.
17. En el análisis los archivos que seleccioné eliminar por sospechosos fueron:
C:\ProgramData\DisplaySwitch.exe y HKCU\Software\Microsoft\Windows\CurrentVersion\RunDisplaySwitch
18. Funcionó correctamente.

Dramer63:

Yo tengo Windows XP y logré eliminarlo utilizando:

1) El Kaspersky Rescue Disk 10 en CD, con actualización on line.
2) Ejecucion del comando Windowsunlocker – opción 1 (Unlock Windows) desde el Terminal del Escritorio de Kaspersky Rescue Disk. Con esto ya se consigue acceder normalmente al ordenador, reiniciándolo normalmente sin el Rescue Disk. Pasamos el Superantispyware.

Pietro:

Con Windows 7:

1. Arrancar en modo seguro con símbolos del sistema.
2. Escribir “cd restore” y pulsar Enter.
3. Escribir “rstrui.exe” y pulsar Enter.
4. Restaurar el sistema.

Gaby:

No me dejaba entrar en modo seguro pero sí en modo SEGURO CON SíMBOLO DE SISTEMA (CONSOLA DE MSDOS). Al encender la máquina pulsamos F8 y saldrá el menu para elegir esta opción. Deberéis daros de alta en el foro y visitar este link

Descargar el archivo PoliFix.exe a un pendrive y seguir las instrucciones.

Como veréis en el tuto también esta la opción del Karpesky rd.10 y Panda Rescue Disk como segunda opción pero una vez pasado uno de estos programas le pasa tambien el PoliFix.

Jagrane:

Yo he quitado varios virus de estos. La mayoría en XP. Los archivos se instalan en ud:\document and setting\usuario\configuracion local\datos de programa. Los últimos archivos se llamaban skype.dat y skype.ini Hay que arrancar con un cd (pilitos o similar), borrarlos y, si se puede con ese disco y si no al reiniciar windows) abrir el registro de windows y buscar skype.dat, que aparece el una de las claves de winlogon (shell), con el nombre del virus en primer lugar y luego explorer.exe.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Se elimina de todos los sitios donde aparezca y listo.
Eliminar también todos los temporales.
Cambia los nombres cada cierto tiempo, pero el funcionamiento siempre es el mismo.
También se puede abrir el msconfig para eliminarlo de la clave RUN

Alexito1988:

La mejor solución es descargar el programa Polifix y meterlo en un USB. Arrancas Windows en “Modo a prueba de errores con símbolo del sistema” y en la ventana negra de ejecutar escribes “Explorer”.

Entonces se te carga el escritorio de Windows y desde alli puedes ir a “Mi Equipo” abres el Pen y ejecutas Polifix. Se puede hacer mediante comandos de “Diskpart” “List Volume” pero a mi no me funcionaba.

Álex:

Entré en modo seguro, C:Documents and settings,All Users,Datos de programa y buscando carpeta por carpeta me encontré con una con un nombre medio raro (lo siento pero no la anoté por la emoción)tenía las imágenes de la dichosa pantalla y la borré, le pasé el Malwarebytes en Examen rápido, reinicié y Bualá, se fue la maldita pantalla del virus policiaco.

Peter:

Con Windows 7:

1. Apagar e iniciar windows normalmente
2. Cuando aparezca pantalla azul, CTRL-ALT-DEL, como dice el compañero Ismael más arriba.
3. Aparece una pantalla con varias opciones (5) –> Dar a cerrar sesión
4. Aparece ya la pantalla normal de windows
5. A partir de ahí, le di a CCcleaner y Malware, que es lo que tengo yo.

Charly:

Tengo Windows 7, cogí el virus hace unos días y no me dejaba entrar ni siquiera en modo seguro (se reiniciaba). Hice lo que decia él con algunas modificaciones que cuentan los usuarios, es decir:

1) Bajé el Kaspersky Rescue Disk 10 en otro ordenador.
2) Lo grabé en un CD con el IMGBurn (pasando la imagen ZIP a ISO).
3) Entré en la BIOS (tecla ESC nada mas encenderse el portátil) e inicié el sistema desde el CD (con F9 creo recordar)
4) Actualicé la base de datos del Kaspersky Rescue Disk 10 (esto es impotante!) mediante un cable de red porque WIFI no pillaba.
5) Finalmente escaneé todas las unidades de PC (tardó unas 4 horas aprox.) y encontró algunos virus que posteriormente borré.

Cuando reinicié en modo normal ya estaba todo bien de nuevo.

Edward:

No es necesario bajarse nada, te vas a modo seguro con la tecla f5 (para más información de como entrar en modo seguro use google), luego te vas en la carpeta inicio y borras, en mi caso fue un falso acceso directo del msconfig. Luego de eso escaneas con el malwarebytes (actualizado) y te dice en que dirección se encuentra (yo que ustedes lo copiaba al usb y lo subía a virus total jeje).

Vallejo:

EL virus descarga un fichero DLL en la carpeta de tu usuario (justo en la carpeta “padre” de MIS DOCUMENTOS) en mi PC se llamaba dsgsdgdsgdsgw.DLL -no es coña-. Mediante un servicio de bajo nivel (SVCHOST) que se arranca aún en la configuración más protegida del PC (a prueba de fallos / símbolo del sistema) mediante un comando RUNDLL que está en el prefetch de \windows pero no es posible quitar el fichero pf… lo regenera.

Este servicio genera una carpeta en el usuario administrador (AllUsers\Programas) llamada MFA con los detalles de lo que has hecho en unos logs y con los ejecutables. Además hay otros 2 ficheros con el nombre raro dgs… etc. (extensiones js y pad). No sirve borrarlos también los regenera el servicio. Para eliminarlo arranqué en la configuración más protegida. Me puse en la ubicación de la DLL, intenté borrarla y falló (a posta porque me guardó la orden para volver a ejecutarla con sólo usar las flechas) arranqué el administrador de tareas (ctrl-alt-del) y fui quitando TODOS los servicios manualmente (comandos SVCHOST). El problema está que uno de ellos te deja un minuto para reiniciar el sistema… por eso hay que ir desactivándolos de prisa como si fuera una peli de suspense. Cuando has terminado de desactivarlos, vuelves a la ventana del símbolo del sistema MS-DOS y con la flecha hacia arriba repites el comando de borrar. Ahora funciona y lo elimina. Volví a entrar en el mismo modo y quité todas las trazas instaladas que he mencionado. Después arranqué normal y me envió un mensaje que no encontró la DLL.

Ahora sólo estoy buscando el servicio que lo genera. Si lo encuentro lo publico después… Pero ya puedo trabajar perfectamente.

Para quitar el servicio que protege al virus policía, en el registro de WINDOWS en la clave:
Mi PC\HKEY_LOCAL_MACHINE\System\ControlSystemXXX (donde XXX puede ser un consecutivo 001, 002, etc) se genera un conjunto llamado winmgmt, este subconjunto activa un servicio con permisos de administrador que activa y protege la Dll que activa el virus policía. Esto hay que repetirlo por cada ControlSystemXXX… hay un conjunto llamado ControlSystemActual que reproduce lo del último consecutivo, no hace falta limpiarlo, es una réplica.

Para evitar que se cuele (o al menos disminuir su fuerza) el virus policía, si vas a navegar por webs “peligrosas” (descargas varias ilegales, porno), cualquier link puede activar una ventana que mediante un programa JAVA (complemento indispensable para casi todo) la instalación del virus.

Sin embargo, es perfectamente factible que se instale en WEBs de apariencia más inocua, eso es irrelevante. Esa instalación tarda un poco más de 2 minutos (en mi ordenador de mediana edad), mientras lo hace, se ralentiza muchísimo porque está haciendo un montaje en la carpeta TEMP de tu usuario con todos los elementos de la página CIFRADOS. SI SOSPECHAS ALGO (una ventana que indique “JAVA Installing” ¡APAGA INMEDIATAMENTE EL ORDENADOR! Es posible que no haya montado aún el servicio. Si te sale la página pidiéndote pasta, ya la pringaste y deberás perder un par de horas al menos sin ordenador.

No dejes que esté activa la página mucho tiempo, haz las operaciones y cierra inmediatamente el sistema, en mi ordenador sólo permaneción en ejecución 21 segundos y no cifró ningún contenido.

¿Cómo evitar infectarte o, al menos, minimizar el efecto? Usa siempre un usuario limitado, y el usuario MASTER sólo en casos realmente necesarios (algunas contraseñas físicas de lectores de tarjetas y DNI sólo actúan en usuarios master). El usuario limitado nunca podrá declarar permisos de arranque, por lo que, aunque te aparezca la página del virus policía, apagas, arrancas como MASTER y te cargas el usuario.

Aclaración: Hay que borrar TODO el conjunto winmgmt de todos los ControlSystem (al leerlo no queda claro) y en la primera parte, usar un simple DEL dsgsdgdsgdsgw.DLL desde la ventana MSDOS (símbolo del sistema). Lo del JAVA es porque, si eres conspiranóico y no lo tienes instalado JAMÁS te entrará este virus (al menos la variante actual). Por último, por complejo que parezca el montaje para quitarte el control de tu ordenador, el montaje para que pagues y evitar que la policía real los coja es aún más alucinante… A ver cuánto duran.

Artículos relacionados

19 Comentarios en esta entrada

  1. RP Says:

    Muy util el aporte, me imagino que dependiendo de la versión del virus servirá un método u otro.
    A mi me ha cazado el virus dos veces: La primera conseguí eliminarlo con el Malware, tal y como explica Natas123, sin embargo la segunda estuvo más complicado y me obligo a hacer una restauración del sistema, como describe Amandacardta.

    Gracias por el aporte.

  2. Terry Hernandez Says:

    Creo que tengo un virus en mi pc, porque inicio el sistema pero no me cargan los archivos, he intentado entrar por modo seguro y tampoco me funciona, he configurado la bios, para que inicie por el cd donde tengo el archivo del Winxdow Xp, pero tampoco lo he conseguido, parece que no me reconoce la unidad de cd, que puedo hacer para solucionar este problema?

  3. Xar Says:

    Si no os funciona el modo a prueba de fallos haced lo q ha dicho peter, pero con un pendrive y el polifix dentro. Ctrl+ alt + supr y cerrar sesión. Si sois rápidos os da tiempo a abrir el pendrive y abrir el polifix….tardáis dos minutos

  4. Marlene Moses Says:

    Hola Anónimo, soy Panarro. Pues yo estaba bastante desesperado, porque siguiendo a pies juntillas todo lo indicado al principio no se me iba el virus. Lo intenté como 10-12 veces, pero nada.Al final hice lo que te indico mas arriba, iniciar el ordenador en modo seguro (normalmente cuando arrancas o reinicias das a f8 y te sale el menu en el que puedes hacerlo), y cuando estés ya en la pantalla de MS-DOS, pones rstrui.exe y das enter, esperas un poco y te saldra un cuadro de dialogo para reiniciar el pc en un punto (fecha) anterior a la que creas que hayas podido ser infectado.Es sencillisimo y a mi es lo que al final me ha funcionado…. impresionante, de verdad.Un saludo.

  5. Sol Says:

    Me ha entrado el virus de la Policía y me ha renombrado todos los ficheros,…. necesito recuperarlos pues son mi trabajo de 15 años. Tengo una copia echa pero no de todo. Imágenes, ficheros 3d.. es una ruina como actuó…?

    Gracias un saludo.

  6. manuguerrero Says:

    Tranquilo Sol. Los puedes recuperar todos. Mira en artículos relacionados de esta web. Saludos.

  7. miguel Says:

    la mejor solucion es la de alexito 1988. a mi me iba mal todo y no funcaba nada pero hice sus pasos y !!!bingoo!! os animo a que probeis eso lo primero un saludo

  8. chal Says:

    Muchas Gracias!

    A mi la verdad es que con la primera opcion (amandacarta) se me ha solucionado

  9. David Says:

    Amigos gracias de antemano le he pasado el kaspersky rescue 10 y no me deja desinfectarlo y en la recuperacion del sistema me dice que no tampoco y no se elimina no entiendo mucho si alguien puede que me eche una mano

  10. Kristy Says:

    Hice lo que «El Gusano» y efectivamente quedó resuelto.

    MUCHAS GRACIAS!!!!!

  11. JU1 Says:

    Eliminación a través de PoliFix
    PoliFix http://polifix.softonic.com/ es un antivirus para el virus de la policía. Diseñado por Infospyware, se ejecuta desde cualquier unidad, preferiblemente en Modo A) a prueba de errores o B)Arrancar en modo seguro con símbolos del sistema.

    PoliFix desinfecta el PC de cualquier rastro del virus de la policía

    Las instrucciones de uso son muy sencillas, y se pueden resumir en los siguientes puntos:

    Opción A)
    1.Descarga PoliFix en una memoria USB desde otro PC
    2.Inicia el PC infectado en Modo a prueba de errores
    3.Conecta el pendrive en el ordenador
    4.Ejecuta PoliFix desde el pendrive y espera

    Opción B)
    1. Guardar en una usb el polifix.exe
    2. Reiniciar su computadora y mantener f8 y Arrancar en modo seguro con símbolos del sistema.
    3. Buscar su usb puede ser f: o g: … y dar luego dir y asegurarse que ahí esta el archivo polifix.exe
    4. Escribir polifix.exe

    Se iniciará el antivirus y solo falta esperar un par de minutos, correrá un proceso de eliminación del virus.
    En mi caso se reinicio el equipo con Win7 y automáticamente se ejecuto un CHKDISK corrigió algunos archivos y listo. Desapareció el problema, me costo probando varias buenas opciones pero esta le agradezco a Laura y a Fabrizio Ferri-Benedetti.

  12. ROLO Says:

    Hola.
    Tengo windows 8 y la opción ue explica Daniel es la qu he intentado, pero no me da tiempo, aparece la pantalla de bloqueo cuando he llegado a Uso General y y no puedo seguir.
    Alguna otra opción?
    Gracias. R
    olo.

  13. chencho Says:

    La opcion de anonimo funciona muy bien

  14. marco Says:

    Muchas gracias por toda estas explicaciones!! Hacéis un trabajo perfecto. Parece que de momento esta solucionado. Pero es como la cuarta vez que pillo este maldito virus. Pegunto: hay alguna manera de prevenir con algún programa o algún antivirus específico este maldito malware?? Tengo instalados el superantyspyware, el malwarebytes y el avast.
    Muchas gracias y un saludo!!

  15. Krd Says:

    Actualiza tu versión de Java

  16. duranovich Says:

    Despues de intentarlo hasta la saciedad con antymalware, antivirus,usb,cd y demas por no poder entrar en modo seguro,lo elimine de la manera mas tonta:
    Tengo a mi pareja como usuario tambien administrador,entre desde su usuario,guarde mis archivos ultimos pues los demas los tengo en otra particion ey elimine mi usuario,despues lo cree de nuevo y santas pascuas…rapido,sencillo y sin modo seguro ni malwarwbites,ni usb ni na de na…..es como enfrentarse a un carateka,donde haya una buena recortada…..

  17. Diego Says:

    Muy bien para anónimo. Gracias!

  18. DIARIO Says:

    Hola siento decir que no me sirve nada de lo que habéis puesto, resulta que reinicio en modo seguro y en todos los modos y sale rapidamente la pagina del virus y no me da tiempo de abrir ni polifix ni ninguno. pulso f 11 para acceder al pendrive y no sale nada. Que puedo hacer? muchas gracias.

  19. Catland Says:

    Chicos, chicas gracias!

    He visto todas las opiniones y experiencias, me las he almacenado en el cerebelo, en seguida voy a probar todo. Gracias por ayudar a compartir vuestros resultados. Estoy seguro de que serán útiles a miles de personas que con verguenza a veces me llaman con las promesas de que no han visitado ninguna página porno. Daos cuenta también de que en el documento falso no aparece ningún mensaje de… PUEDE PAGAR LA MULTA… O CONSULTAR MAS INFORMACION EN LA COMISARIA DE POLICIA MAS CERCANA, jeje. Sería absurdo no?

    Un Fuerte Abrazo para todos los que habéis puesto un esfuerzo en exponer la información.

    Catland, kodise900@gmail.com

Responder

Social Widgets powered by AB-WebLog.com.