Los 100 euros del virus de la policia nacional

Cuando alguien tiene mala pata... la tiene y ya está. Hace unos días me volvió a llamar mi usuario más virico. Me decía que su ordenador se lo había secuestrado la policia nacional por haber visto pornografía, zoofilia y un montón de filias de dudosa reputación y que la empresa debía pagar 100 euros para que le desbloquearan el ordenador. Me quedé bastante sorprendido, lo cierto es que no tenía yo a esta persona como un/a guarrete/a empedernido, tal como efectivamente no lo fue.

Llego a su puesto y me encuentro esta imagen:

Pantallazo de la pantalla de rescate

Mi siguiente expresión; cara de poker, naturalmente. Hacía un tiempo que había escuchado hablar de algo así y mi compañero me indicó que esta semana pasada había salido anunciado por televisión (al fin los medios valen para algo en informática).

Bueno, que me voy por las ramas. Aquí os paso los dos posibles metodos para poder limpiar el equipo de este virus,

Metodo 1 (antiguo)

Hay que reiniciar el sistema y presionar F8 desde el momento que empieza el arranque del sistema. Seleccionamos arranque en Modo a prueba de fallos. Una vez que ha arrancado el sistema, iniciamos sesión con el usuario infectado. El virus no se ejecuta puesto que en el modo a prueba de fallos el sistema arranca con lo justo.

Metodo 2

El virus ha evolucionado y es muy posible que el metodo antiguo no os funcione. Para quitarlo actualmente, presiona Ctrl+Alt+Supr mientras el ordenador empieza a arrancar el windows, rapidamente, presiona Cerrar Sesión. El sistema, cerrará el virus y veremos nuestro escritorio y, como el equipo estará todavía iniciando la sesión, nos dirá que algún programa se ha quedado colgado, le damos a Cancelar en lugar de Finalizar programa, nuestro escritorio estará delante nuestra... ahora solo falta seguir los pasos siguientes y habremos quitado el virus

Metodo 3

Inicia el equipo con otro usuario y sigue estas instrucciones para modificar HKCU desde este usuario

Pasos en común

Entramos en el registro de sistema (regedit desde la linea de comandos) y tenemos que buscar y tomar nota del ejecutable al que apunta el valor "Shell" dentro de la siguiente clave de registro.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\

Cambiamos el valor después de apuntarlo por "Explorer.exe" y listo. Virus eliminado (me debes 100 pavos). Para eliminar ese archivo, por si quieres dejar el sistema limpito, nos dirigimos a la carpeta donde se encuentra, normalmente es C:\Users\%username%\AppData\Roaming y esta "escondido" como un archivo de sistema y oculto. Habrá que configurar el sistema de archivos para poder visualizarlos.