Utilidades recomendadas:

El virus de la policía nacional de terror a sus víctimas con un mensaje en la pantalla del ordenador, donde se dice que tiene que pagar la suma de € 100 por haber estado viendo pornografía, han descargado archivos con derechos de autor, etc Esta suma de dinero debe ser depositado por algunos de los métodos que los virus mencionados.

Este código malicioso bautizado con el nombre de virus de la policía nacional nuestro ordenador de una manera total, es decir, el teclado, el ratón no se puede utilizar, en fin no se puede hacer nada, excepto claro que reinicie el equipo, si hacemos esto, de nuevo el mensaje aparecerá en la pantalla, convirtiéndose en un bucle sin fin, pero esto se puede solucionar solo hay que borrar el virus policía nacional de windows.

 

Consideraciones previas:

 

El sistema operativo Windows 8 NO VIENE HABILITADO POR DEFECTO EL MODO A PRUEBA DE FALLOS O MODO SEGURO. Según que ordenador tengas, probablemente puedas usar Shift+F8 (En sustitución de la F8 de las versiones anteriores). Para ello debes de hacer lo siguiente:

 

  1. Introducir el DVD de Windows 8 (Supongo que sino tienes, bastará con el de una versión anterior. No lo he probado).
  2. Arrancar desde él. Entonces no saldrá algo como “Press any key to boot from CD/DVD” que significa “Aprieta cualquier tecla para iniciar desde el CD/DVD”. Al hacerlo entraremos en el menú de instalación de Windows 8. Nos aseguramos que tenemos nuestro idioma tanto en el lenguaje como el teclado y apretaremos en siguiente. Una vez hecho… ¡TEN CUIDADO! Porque debemos de buscar abajo a la izquierda la opción “Reparar equipo” para darle un clic. Una vez hecho esto, se nos cargará un menú de opciones (El menú conocido como UEFI) en la cual seleccionaremos “Solución de problemas”. Dentro de esta sección iremos a “Opciones avanzadas”. Ahí veremos la opción de usar el CMD (Símbolo del sistema) donde le daremos un clic.
  3. Con la ventana activa del CMD escribimos esto: bcdedit /enum /v

    Dn126140.189E160D1827D12D27079099581112AF(es-es,MSDN.10).png

  4. Este comando nos permitirá ver las diferentes opciones de arranque de nuestro Windows 8. Luego de localizar nuestro identificador de arranque (Cargador de arranque de Windows), procedemos a copiar la línea de dicho identificador que utilizaremos para el próximo comando.

    Dn126140.951B48A52BE1ACBBF5A9EAAAFAC97607(es-es,MSDN.10).png

    Dn126140.C305429B077F0CC4DB601F5E28118382(es-es,MSDN.10).png

    Dn126140.FF10EA3F04C8102B2CCBB85A38139F25(es-es,MSDN.10).png

    (Si no podemos acceder a este menú, podemos arrastrar con el botón izquierdo lo que queremos seleccionar y apretar enter para copiar, con el otro botón se nos pegará donde queramos).

  5.  

  6. Como ya tenemos nuestro identificador de arranque listo para ser utilizado procedemos a ejecutar el siguiente comando:

    bcdedit /copy <identificador de arranque> /d “Modo Seguro” – Safe Boot”

    Dn126140.EF70472B138A01487F9A431D5F9ED01B(es-es,MSDN.10).png

    Fuente: http://msdn.microsoft.com/es-es/library/dn126140.aspx

Cuando apretemos enter, ya no podemos hacer nada ya que el resto de la configuración SE HACE DESDE EL SISTEMA. Entonces ¿Para qué todo esto? Muy sencillo ¡PARA FORZAR A QUE SALGA EL MENÚ UEFI Y ESCOGER UNA OPCIÓN? ¿Para qué? Ahora lo verás: (Puedes reiniciar y sacar el DVD de WIndows 8 porque ya no te va ha hacer falta)

 

PROCESO PARA ELIMINARLO:

 

Ya tenemos todo preparado. Sino tienes instalado y actualizado Malware Antibytes puedes probar a entrar en el modo seguro con funciones de red pero primero desconecta el router y si puedes ver el escritorio, enciéndelo. Descarga el programa y actualízalo. Si aun así no puedes, entra en el modo seguro con el símbolo del sistema. Como el administrador de tareas estará abierto (sino aprieta Ctrl+Alt+Supr) para ir a Archivo/Ejecutar nueva tarea y escribe explorer.exe. Así se nos abrirá una carpeta de Windows para poder navegar permitiendo la instalación de los programas (hazlo). También puedes probar a poner firefox.ese, chrome.exe o iexplorer.exe para que se carguen los navegadores y comprobar que tienes Internet para bajar,instalar y actualizar este programa. Ten en cuenta que dependiendo de lo fuerte que sea, NO PODRÁS USAR LAS USB, a mi no me dejó.

 

Acceder a estos modos en Windows XP/Vista/7 ya sabes. Mantienes apretada la tecla F8 hasta que se abra el menú de opciones donde tenemos nuestro Modo seguro, Modo seguro con funciones de red y Símbolo del sistema. Lo normal es que no tengas acceso a Internet por lo tanto intenta que estos programas te los puedas bajar a través de otro ordenador y grabarlos en un CD/DVD Regrabable.

 

En Windows 8 cuando se inicie el sistema, nos aparecerá el menú UEFI con dos opciones:

 

1- Windows 8

2- Modo Seguro – Safe Boot (el que hemos creado).

 

Ambos es el mismo porque no podemos configurar el modo seguro debido a que se hace dentro del sistema y este lo tenemos infectado. Pues bien, esto sirve para que podamos dar un clic donde dice “Cambiar los valores predeterminados o elegir otras opciones”. Una vez hecho veremos un menú UEFI similar al del DVD de Windows 8. Iremos a “Solución de Problemas” –> “Opciones Avanzadas” –> “Configuración de inicio” (O algo así creo que se llamaba). Clic en Reiniciar, cuando el sistema cargue aparecerán más opciones. Las teclas de la 4 a la 6 o bien de la F4 a la F6 son las que nos interesan para que pruebes de nuevo lo que he dicho de Instalar y Actualizar Malware Antibytes.

 

Sino has podido actualizarlo, en un principio no pasa nada. Dale un escaneo COMPLETO a todas tus unidades de disco duro y eliminina TODO lo que encuentre. Cuando lo hayas hecho reinicia el ordenador y trata de entrar de nuevo en el modo seguro pero con funciones de red. Si ves el escritorio localiza el malware antibytes y ábrelo para actualizarlo. Sino ves el escritorio aprieta Ctrl+Alt+Supr, accede al Administrador del Sistema y en él ve a Archivo/Ejecutar nueva tarea, escribe explorer.exe y aprieta enter. De nuevo, localiza el malware antibytes actualízalo y dale un escaneo COMPLETO A TUS UNIDADES DE DISCO. Recomiendo que una vez que lo hayas actualizado, que reinicies el ordenador y lo cargues en el modo seguro pero SIN FUNCIONES DE RED sin salida a Internet o bien que apagues el router. Una vez hecho, elimina todo y reinicia el ordenador. A partir de este momento pueden suceder dos cosas:

 

1- Que se vea el escritorio: ¡ENHORABUENA! Ya ha sido eliminado aunque si quieres puedes darle otra pasada o bien usar el antivirus que tengas para asegurarte de que no haya más “porquería”.

2- Que el escritorio no se vea: En este caso es porque nos han cambiado la shell. La shell en Windows es el explorer.exe y es el entorno donde trabaja el usuario. Al haber cambiado la shell y aplicado Malware Antibytes hemos eliminado algunas claves del registro que le han sentado mal al malware, de hecho le ha sentado tan mal que puede que tengas un mensaje de error de este tipo:

RUNDLL:

Problema al iniciar C:\PROGRAM~3\djmb4.dat

 

El djmb4.dat ES EL VIRUS. El directorio PROGRAM~3 suele ser la carpeta ProgramData que está oculta en el disco duro C:\ o donde tengamos Windows instalado. El proceso a seguir es el siguiente:

 

  1. Acceder al administrador de tareas e iniciar explorer.exe y tu navegador preferido (firefox.exe por ejemplo)
  2. Descargar e instalar el TuneUp Utilities 2013
  3. Mostrar los archivos y carpetas ocultos (Windows 7 se hace desde las opciones de carpeta y Windows 8 tienes que dar clic en Vista, ir a la opción “Opciones” y darle un clic en su icono. Una vez hecho eso, en ambos casos se abrirán 3 pestañas en la que daremos clic en Ver, le indicaremos que queremos ver los archivos y carpetas para terminar aceptando los cambios).
  4. Ir a la carpeta ProgramData donde nos encontraremos 4 archivos que se llaman djmb4. Uno de ellos es uno que contiene claves para el registro de Windows, podemos probar a abrirlo a ver si nos indica en que lugar del registro nos ha cambiado la configuración para ir a ella.
  5. Eliminar COMPLETAMENTE ESOS 4 ARCHIVOS O LOS QUE HAYA con la opción Shredder de TuneUP HACIENDO IMPOSIBLE SU RECUPERACIÓN del modo más fuerte que tenga. Si el archivo se llama de otra manera, a parte de que lo verás en el mensaje de error, la ruta donde esté será indicada en nombre corto (deberás de buscar como copiar esa carpeta en nombre corto para abrirla desde el administrador de tareas de las misma manera que el explorer.exe para saber donde están esos archivos).
  6. Una vez eliminados para siempre, aprovechamos que tenemos el administrador de tareas abierto para ir a Archivo/Ejecutar nueva tarea y escribir regedit. Nuestro lugar de destino es:

    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>WindowsNT>CurrentVersion>Winlogon 

    A la derecha debemos de localizar la entrada llamada shell donde nos llevaremos la sorpresa que veremos el nombre de djmb4 (o el que nos haya devuelto el error). Debemos de dar un doble clic y cambiar ese djmb4 por explorer.exe.

    Fuente: http://reparartupcya.blogspot.com.es/2013/02/pantalla-negra-con-puntero-al-iniciar.html

  7. Ahora debemos de terminar usando de nuevo TuneUp Utilities 2013, en este caso debemos de abrir el TuneUp StartUp Manager. Cuando lo abramos veremos la lista de programas que se inician junto con Windows. Uno de ellos es llamado “Proceso de Host de Windows (Rundll32)”. Si le damos un doble clic nos daremos cuenta que de nuevo tenemos el nombre de djmb4. Todo esto ha sido lo que ha hecho cambiar la shell de Windows por la djmb4 y que se cargue nada más empezar bloqueando todo usando una DLL de Microsoft que viene con Windows. La Rundll32 no debe de borrarse pero sí esta entrada. Para ello dentro del TuneUp StartUp Manager, localizamos el “Proceso de Host de Windows (Rundll32)”, quitamos que se cargue al inicio del sistema y la borramos (confirmamos el borrarla si lo pide).

Ahora cuando reinicies el PC lo tendrás todo tal cual antes de que haya sido infectado. Ahora te queda deshacer el haber creado el Modo Seguro – Safe Boot en Windows 8. Para ello aprieta la tecla Windows + R para abrir ejecutar y escribe msconfig, ve a la pestaña Arranque, selecciona el “Modo Seguro – Safe Boot” y dale e eliminar. Reinicia el PC y ya está.

 

He optado por TuneUp por ser muy intuitivo y fácil de usar. Las claves a cambiar serán esas y las que pudimos ver (si es que se pudo) en el archivo del registro que también se llamó djmb4 en la carpeta ProgramData.

 

Ahora solo queda el repasar con este tipo de programas (Antivirus, Antimalware y Optimizadores) que el ordenador va todo bien y como no, de remate final un CCleaner en limpieza de archivos y clave del registro nunca viene mal. Ahora si lo deseas puedes dejarte en Windows 8 el modo seguro activado para siempre en el menú UEFI siguiendo los pasos de su guía MSDN:

 

http://msdn.microsoft.com/es-es/library/dn126140.aspx

 

Páginas que me han ayudado para hacer este tutorial (Fuentes):

 

Crear entrada menú seguro: http://msdn.microsoft.com/es-es/library/dn126140.aspx

Acceder a las opciones del UEFI y el modo seguro:  http://h10025.www1.hp.com/ewfrf/wc/document?cc=es&lc=es&dlc=es&docname=c03533276

 

Recuperar la shell de WIndows 8: http://reparartupcya.blogspot.com.es/2013/02/pantalla-negra-con-puntero-al-iniciar.html

 

Toda la información de este virus: http://viruspoliciancionaleliminar.tumblr.com/