PDA

Επιστροφή στο Forum : Αφαίρεση του Ιού της Δίωξης Ηλεκτρονικού Εγκλήματος



KOKAR
15-05-13, 15:30
Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam).


Για την Ελλάδα εμφανίζεται ως ιός της Δίωξης Ηλεκτρονικού Εγκλήματος. Οι πληροφορίες που εμφανίζονται στην αρχική σελίδα του browser του χρήστη ισχυρίζονται πως είναι από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο.



Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Οι τεχνικοί μας έχουν έρθει αντιμέτωποι με πολλές παραλλαγές του ιού και ο τρόπος καθαρισμού διαφέρει σε μερικά σημεία ανάλογα το λειτουργικό και την έκδοση του ιού. Τις περισσότερες φορές πάντως ακολουθώντας τα παρακάτω βήματα μπορείτε να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.

http://www.netcomm.gr/sites/default/files/ios_dioksis.jpg


Αφαίρεση του Ιού της Δίωξης Ηλεκτρονικού Εγκλήματος

1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών
Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt (Ασφαλής Λειτουργία με γραμμή Εντολών) και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.

http://www.netcomm.gr/sites/default/files/ios_dioksis_step1.jpg

2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.

http://www.netcomm.gr/sites/default/files/ios_dioksis_step2.jpg

3. Εν συνεχεία ανοίξτε τον Registry editor (Επεξεργαστής Μητρώου) κάνοντας χρήση του Windows command prompt. Πληκτρολογήστε regedit και πατήστε Enter. Ο Registry Editor ανοίγει.
http://www.netcomm.gr/sites/default/files/ios_dioksis_step3.jpg

KOKAR
15-05-13, 15:32
4. Εντοπίστε την ακόλουθη καταγραφή στη registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Στα δεξιά επιλέξτε το registry key (κλειδί μητρώου) ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify (Τροποποίηση)
Η αρχική του τιμή είναι Explorer.exe

http://www.netcomm.gr/sites/default/files/ios_dioksis_step4_0.jpg

Η "πειραγμένη" από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.

http://www.netcomm.gr/sites/default/files/ios_dioksis_step5.jpg

Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σε Explorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.



5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.

Πλήρης τοποθεσία: C:\Documents and Settings\Michael\Desktop\movie.exe

http://www.netcomm.gr/sites/default/files/ios_dioksis_step6.jpg

Επανέλθετε σε Normal Mode των Windows (Κανονική Λειτουργία). Για να επανεκκινήσετε το σύστημά σας ενώ είστε σε σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.

http://www.netcomm.gr/sites/default/files/ios_dioksis_step7.jpg

Θα πρέπει πλέον να έχετε πρόσβαση στον υπολογιστή σας. Αυτό όμως δεν σημαίνει οτι ο υπολογιστής σας είναι "καθαρός". Θα πρέπει να "τρέξετε" κάποιο anti-malware ή κάποιο trojan-killer πρόγραμμα για να εξαλείψετε όλες τις μολύνσεις. Αν χρειάζεστε παραπάνω βοήθεια επιλέξτε μια υπηρεσία μας (http://www.netcomm.gr/onetime/diagnose-kai-episkeue)και ένας Personal Online Expert μας θα καθαρίσει τον υπολογιστή σας και θα βεβαιωθεί ότι έχετε όλες τις απαραίτητες ρυθμίσεις και ενημερώσεις για να συνεχίζετε να τον χρησιμοποιείται χωρίς προβλήματα.

πηγη: http://boraeinai.blogspot.gr/2013/05/virus.html

GeorgeVita
15-05-13, 16:57
... Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία ... ο τρόπος καθαρισμού διαφέρει σε μερικά σημεία ανάλογα το λειτουργικό και την έκδοση του ιού... Ο Windows Explorer θα ανοίξει...

Με wine ή με VM θα τρέξω τον windows explorer;
(όπερ μεθερμηνευόμενο: συμβαίνει σε όλα τα windows ή μόνο στα 7 και 8; Τα XP διατρέχουν κίνδυνο; Παίζει ρόλο αν είναι αυθεντικά ή κλεψίτυπα; )

744
15-05-13, 17:29
O ιός εμφανίζεται σε όλα.
Ένας άλλος τρόπος είναι να κάνεις system restore.

Σε XP, από Safe Mode (F 8 σε Command Line:
%systemroot%\system32\restore\rstrui.exe και Enter. Τρέχει το System Restore και διαλέγεις μια πρότερη ημερομηνία που λειτουργούσε καλά.


Σε Vista ή 7, από Safe Mode (F 8 σε Command Line:
rstrui.exe και Enter. Τρέχει το System Restore και διαλέγεις μια πρότερη ημερομηνία που λειτουργούσε καλά.

Γιάννης

luhe98922
15-05-13, 17:34
Για να προσθεσω κι εγω κάτι, επειδη σε μενα (σπασμένα XP και συγκεκριμμένα tinyXP rev11) δεν έμπαινε ούτε σε ασφαλή λειτουργεία, χρησημοποίησα το resque disk της kaspersky.
https://support.kaspersky.com/viruses/rescuedisk
ειναι δωρεάν, δεν χρειάζεται να έχεις καποιο προιόν της kaspersky και έκανε την δουλειά του άψογα.
Σημείωση, δεν έβρισκα στο μητρώο τα αρχεία που διάβαζα από άλλους οτι έπρεπε να βρώ.

GeorgeVita
15-05-13, 18:26
O ιός εμφανίζεται σε όλα.
Γιάννη μήπως παίζουν ρόλο και "οι συνήθειες μας" κατά την περιήγηση;
Χρησιμοποιώ windows έως και Vista (περιορισμένη αλλά καθημερινή χρήση λόγω dual boot) και ως "προστασία" έχω μόνο το microsoft security essentials. ΠΟΤΕ δεν προσβλήθηκε κανένα PC μου από ιό ούτε και ανιχνεύτηκε κάτι στην σχεδόν εβδομαδιαία σάρωση. Βέβαια δεν "κατεβάζω" ταινίες/μουσική/... ούτε μου φέρνουν stick-άκια. To browsing είναι στα κοινότυπα και πολυσύχναστα (forums, youtube, ειδησεογραφικά, ebay, σελίδες εταιριών κλπ.). Μήπως η μόλυνση έχει σχέση και με το e-μπερμπάντεμα (περιλαμβάνοντας και το clopy-write);

744
15-05-13, 19:12
Εννοούσα όλα τα Windows. Όχι όλα τα μηχανήματα/χρήστες. Βεβαίως και παίζει ρόλο που μπαίνεις. Αυτονόητο.

Νομίζω με το System Restore είναι πιο απλό να επαναφέρεις το μηχάνημα.

electron
15-05-13, 20:16
Το system restore δεν αποτελεί πάντα πανάκεια, γιατί υπάρχουν και μολύνσεις που δημιουργούν αντίγραφα του εαυτού τους ακόμα και εκεί. Θα πρέπει λοιπόν έπειτα από κάθε καθαρισμό-αντιμετώπιση ενός ιού, να διαγράφουμε όλα τα σημεία επαναφοράς.

agis68
15-05-13, 22:54
Γιάννη μήπως παίζουν ρόλο και "οι συνήθειες μας" κατά την περιήγηση;
Χρησιμοποιώ windows έως και Vista (περιορισμένη αλλά καθημερινή χρήση λόγω dual boot) και ως "προστασία" έχω μόνο το microsoft security essentials. ΠΟΤΕ δεν προσβλήθηκε κανένα PC μου από ιό ούτε και ανιχνεύτηκε κάτι στην σχεδόν εβδομαδιαία σάρωση. Βέβαια δεν "κατεβάζω" ταινίες/μουσική/... ούτε μου φέρνουν stick-άκια. To browsing είναι στα κοινότυπα και πολυσύχναστα (forums, youtube, ειδησεογραφικά, ebay, σελίδες εταιριών κλπ.). Μήπως η μόλυνση έχει σχέση και με το e-μπερμπάντεμα (περιλαμβάνοντας και το clopy-write);

Είναι πολύ φυσικό! οι συνήθειες μας αντανακλούν στο pc μας....εν ολίγοις δείξε μου το pc σου να δω ποιος είσαι......Συμφωνώ απόλυτα μαζί σου. Ουδέποτε εχω προσβληθει αλλά μου φερνουν μηχανήματα με της παναγιάς τα μάτια μέσα!!!!

ΝΕΚΤΑΡΙΟΟΣ
16-05-13, 00:57
με μια φορματια ? ε? ενως φιλου μου προσβληθηκε και με ρωταγε,ενωειται οτι αν μπαινεις καπου πονηρα κατι μπορει να αρπαξεις(μπεμπεκα)χαχαχα.

xmaze
16-05-13, 03:11
Εχω μια καλύτερη μέθοδο, και ακούει στο όνομα. Ubuntu/Fedora/Debian etc. 24/7/365 το χρόνο άμεση εξυπηρέτηση!!

Dhmhtrhs Oikonomou
16-05-13, 05:58
η απλα κανεις ενα φορματ

xmaze
16-05-13, 14:27
Κατι σαν το πονάει κεφάλι, κοψτο!! 7 χρόνια με Ubuntu + 2 Fedora δεν είχα ουτε το παραμικρό πρόβλημα. Η αδερφή μου σε ένα latop διαλυμένο χωρίς μπαταρία, το οποίο σβήνει 10 φορες την μέρα επειδή βγαίνει το βύσμα κλπ. Τρέχει Ubuntu και δεν εχει πάθει τπτ, επι 2 χρόνια. Αν είχε Windows μετα απο 4 σβησίματα θα είχε φτύσει!1

p.gabr
22-05-13, 22:05
τον παλευω

Σωθηκα γιατι μπηκα σε αλλον χρηστη , και εσωσα τα αρχεια μου
Ακολουθω τις οδηγιες αφαιρεσα τα local μπηκα regedit αφαιρεσα το shell και παω για επανεκινηση


Eπανερχομαι δεν πετυχε, κανω ενα scan με το avast και βλεπουμε

jonito2000
22-05-13, 22:39
επιδει το εχω παθει και εγω και εχω φτιαξει αλλα 3 pc με αυτο το θεμα.
Θα σου πω τι εκανα εγω, απενεργοποιησα το Internet και μετα εκανα επαναφορα συστηματος 1-2 μερες πριν και ηταν κομπλε.

p.gabr
22-05-13, 22:48
Δεν παιζει η επαναφορά

GeorgeVita
22-05-13, 23:03
[off topic]
Αν σας βγάλει το παρακάτω στην οθόνη, προσέξτε!

http://acomelectronics.com/GeorgeVita/various2/HALmalfunction.jpg

[/off topic]

chris73
22-05-13, 23:06
Το θέμα είχε ξανασυζητηθεί μερικούς μήνες πριν. Και τότε σε άλλους δούλευε η επαναφορά μετά από ασφαλή εκκίνηση σε άλλους όχι.

Σε εμένα δούλεψε η επαναφορά (2 φορές) πολύ απλά τότε και νομίζω είναι το πρώτο που πρέπει να δοκιμάζουν ειδικά οι άσχετοι σαν εμένα.

Και τότε είχα αναφέρει πως από δική μου παρατήρηση κατέβαινε σίγουρα μέσω torrent και όχι απαραίτητα πονηρά πάντα.
Τη δεύτερη φορά για παράδειγμα που το έπαθα κατέβαζα μόνο ταινίες του 40 και του 50.

p.gabr
22-05-13, 23:09
παιδια ολα καλά ..είμαι στον χρήστη μου ,, ξανακοιτώ με το avast και μάλλον τα έχω διώξει όλα

Τωρα δεν με πειραζει ετσι και αλλοιως τα έσωσα όλα, ετσι και αλλοιως σκεφτόμουν για fοrmat
με εφαγε ο κανακάρης μου για τα 8 , αντε τώρα να δούμε και φτου κιαπ την αρχή

θα κοιτάξω τώρα και την επαναφορα ήταν απενεργοποιημενη



ΕΥΧΑΡΙΣΤΩ ΟΛΟΥΣ Και μάλλον ειναι καλό να υπάρχει και άλλος χρήστης

FM1
15-06-13, 20:08
Η πιο άμεση αντιμετώπιση αυτών των ιών είναι να κάνεις boot το pc με ένα Kaspersky antivirus boot cd και εν συνεχεία update στο antivirus και scan όλο το C: μέχρι το 100% για να διαγραφούν όλοι οι ιοί.

https://support.kaspersky.com/4162


http://support.kaspersky.com/8673

kpetros
15-06-13, 20:35
παιδες , δεν θελει κοπο , απλα καντε ενα system restore ...... δουλευει :P

klik
16-06-13, 01:01
Υπάρχουν 2 ή 3 κατηγορίες/εκδόσεις του ιού:

1η είναι η απλή που μπορείς να μπεις σε safe mode και να κάνεις system restore.

2η είναι μια έκδοση που ΔΕΝ μπαίνεις σε safe mode (υπάρχει και εκεί το μήνυμα). Ξεκινάς με live linux ή κάποιο antivirus rescue cd και από το φάκελο
c:\documents and settings\All users διαγράφεις ότι .exe αρχεία έχει. Μετά επανεκκίνηση και ξεκίνημα σε normal ή safe mode και επαναφορά συστήματος

3η έκδοση -δεν την έχω συναντήσει, μόνο αναφορές έχω βρει, κωδικοποιεί αρχεία από τον φάκελο documents and settings ώστε να μην μπορείς να τα χρησιμοποιήσεις

kpetros
16-06-13, 01:27
system restore μπορεις να κανεις και βαζοντας το CD των windows , και κανοντας εκινηση απο εκει . Για τους παρανομους , υπαρχει μικρο αρχειο (100-120ΜΒ) που περιεχει μονο το system restore , και το τρεχεις ανετα μεσα απο boot USB

klik
20-06-13, 18:01
...3η έκδοση -δεν την έχω συναντήσει, μόνο αναφορές έχω βρει, κωδικοποιεί αρχεία από τον φάκελο documents and settings ώστε να μην μπορείς να τα χρησιμοποιήσεις

να και ransomware με κωδικοποίηση (http://www.adslgr.com/forum/threads/739127-ιος-σε-αρχεια) αρχείων: