Αφαίρεση του Ιού της Δίωξης Ηλεκτρονικού Εγκλήματος

[KOKAR]

Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam).


Για την Ελλάδα εμφανίζεται ως ιός της Δίωξης Ηλεκτρονικού Εγκλήματος. Οι πληροφορίες που εμφανίζονται στην αρχική σελίδα του browser του χρήστη ισχυρίζονται πως είναι από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο.



Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Οι τεχνικοί μας έχουν έρθει αντιμέτωποι με πολλές παραλλαγές του ιού και ο τρόπος καθαρισμού διαφέρει σε μερικά σημεία ανάλογα το λειτουργικό και την έκδοση του ιού. Τις περισσότερες φορές πάντως ακολουθώντας τα παρακάτω βήματα μπορείτε να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.

Αφαίρεση του Ιού της Δίωξης Ηλεκτρονικού Εγκλήματος

1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών
Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt (Ασφαλής Λειτουργία με γραμμή Εντολών) και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.



2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.



3. Εν συνεχεία ανοίξτε τον Registry editor (Επεξεργαστής Μητρώου) κάνοντας χρήση του Windows command prompt. Πληκτρολογήστε regedit και πατήστε Enter. Ο Registry Editor ανοίγει.

[KOKAR]

4. Εντοπίστε την ακόλουθη καταγραφή στη registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Στα δεξιά επιλέξτε το registry key (κλειδί μητρώου) ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify (Τροποποίηση)
Η αρχική του τιμή είναι Explorer.exe



Η "πειραγμένη" από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.



Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σε Explorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.



5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.

Πλήρης τοποθεσία: C:\Documents and Settings\Michael\Desktop\movie.exe



Επανέλθετε σε Normal Mode των Windows (Κανονική Λειτουργία). Για να επανεκκινήσετε το σύστημά σας ενώ είστε σε σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.



Θα πρέπει πλέον να έχετε πρόσβαση στον υπολογιστή σας. Αυτό όμως δεν σημαίνει οτι ο υπολογιστής σας είναι "καθαρός". Θα πρέπει να "τρέξετε" κάποιο anti-malware ή κάποιο trojan-killer πρόγραμμα για να εξαλείψετε όλες τις μολύνσεις. Αν χρειάζεστε παραπάνω βοήθεια επιλέξτε μια υπηρεσία μας και ένας Personal Online Expert μας θα καθαρίσει τον υπολογιστή σας και θα βεβαιωθεί ότι έχετε όλες τις απαραίτητες ρυθμίσεις και ενημερώσεις για να συνεχίζετε να τον χρησιμοποιείται χωρίς προβλήματα.

πηγη: http://boraeinai.blogspot.gr/2013/05/virus.html

[GeorgeVita]

... Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία ... ο τρόπος καθαρισμού διαφέρει σε μερικά σημεία ανάλογα το λειτουργικό και την έκδοση του ιού... Ο Windows Explorer θα ανοίξει...

Με wine ή με VM θα τρέξω τον windows explorer;
(όπερ μεθερμηνευόμενο: συμβαίνει σε όλα τα windows ή μόνο στα 7 και 8; Τα XP διατρέχουν κίνδυνο; Παίζει ρόλο αν είναι αυθεντικά ή κλεψίτυπα;)

[744]

O ιός εμφανίζεται σε όλα.
Ένας άλλος τρόπος είναι να κάνεις system restore.

Σε XP, από Safe Mode (F 8 σε Command Line:
%systemroot%\system32\restore\rstrui.exe και Enter. Τρέχει το System Restore και διαλέγεις μια πρότερη ημερομηνία που λειτουργούσε καλά.


Σε Vista ή 7, από Safe Mode (F 8 σε Command Line:
rstrui.exe και Enter. Τρέχει το System Restore και διαλέγεις μια πρότερη ημερομηνία που λειτουργούσε καλά.

Γιάννης

[luhe98922]

Για να προσθεσω κι εγω κάτι, επειδη σε μενα (σπασμένα XP και συγκεκριμμένα tinyXP rev11) δεν έμπαινε ούτε σε ασφαλή λειτουργεία, χρησημοποίησα το resque disk της kaspersky.
https://support.kaspersky.com/viruses/rescuedisk
ειναι δωρεάν, δεν χρειάζεται να έχεις καποιο προιόν της kaspersky και έκανε την δουλειά του άψογα.
Σημείωση, δεν έβρισκα στο μητρώο τα αρχεία που διάβαζα από άλλους οτι έπρεπε να βρώ.

[GeorgeVita]

O ιός εμφανίζεται σε όλα.

Γιάννη μήπως παίζουν ρόλο και "οι συνήθειες μας" κατά την περιήγηση;
Χρησιμοποιώ windows έως και Vista (περιορισμένη αλλά καθημερινή χρήση λόγω dual boot) και ως "προστασία" έχω μόνο το microsoft security essentials. ΠΟΤΕ δεν προσβλήθηκε κανένα PC μου από ιό ούτε και ανιχνεύτηκε κάτι στην σχεδόν εβδομαδιαία σάρωση. Βέβαια δεν "κατεβάζω" ταινίες/μουσική/... ούτε μου φέρνουν stick-άκια. To browsing είναι στα κοινότυπα και πολυσύχναστα (forums, youtube, ειδησεογραφικά, ebay, σελίδες εταιριών κλπ.). Μήπως η μόλυνση έχει σχέση και με το e-μπερμπάντεμα (περιλαμβάνοντας και το clopy-write);

[744]

Εννοούσα όλα τα Windows. Όχι όλα τα μηχανήματα/χρήστες. Βεβαίως και παίζει ρόλο που μπαίνεις. Αυτονόητο.

Νομίζω με το System Restore είναι πιο απλό να επαναφέρεις το μηχάνημα.

[electron]

Το system restore δεν αποτελεί πάντα πανάκεια, γιατί υπάρχουν και μολύνσεις που δημιουργούν αντίγραφα του εαυτού τους ακόμα και εκεί. Θα πρέπει λοιπόν έπειτα από κάθε καθαρισμό-αντιμετώπιση ενός ιού, να διαγράφουμε όλα τα σημεία επαναφοράς.

[agis68]

Γιάννη μήπως παίζουν ρόλο και "οι συνήθειες μας" κατά την περιήγηση;
Χρησιμοποιώ windows έως και Vista (περιορισμένη αλλά καθημερινή χρήση λόγω dual boot) και ως "προστασία" έχω μόνο το microsoft security essentials. ΠΟΤΕ δεν προσβλήθηκε κανένα PC μου από ιό ούτε και ανιχνεύτηκε κάτι στην σχεδόν εβδομαδιαία σάρωση. Βέβαια δεν "κατεβάζω" ταινίες/μουσική/... ούτε μου φέρνουν stick-άκια. To browsing είναι στα κοινότυπα και πολυσύχναστα (forums, youtube, ειδησεογραφικά, ebay, σελίδες εταιριών κλπ.). Μήπως η μόλυνση έχει σχέση και με το e-μπερμπάντεμα (περιλαμβάνοντας και το clopy-write);

Είναι πολύ φυσικό! οι συνήθειες μας αντανακλούν στο pc μας....εν ολίγοις δείξε μου το pc σου να δω ποιος είσαι......Συμφωνώ απόλυτα μαζί σου. Ουδέποτε εχω προσβληθει αλλά μου φερνουν μηχανήματα με της παναγιάς τα μάτια μέσα!!!!

[ΝΕΚΤΑΡΙΟΟΣ]

με μια φορματια ? ε? ενως φιλου μου προσβληθηκε και με ρωταγε,ενωειται οτι αν μπαινεις καπου πονηρα κατι μπορει να αρπαξεις(μπεμπεκα)χαχαχα.