Παρασκευή, 13 Ιουλίου 2012

Ιος Δίωξης Ηλεκτρονικού Εγκλήματος- Καθαρισμός


Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam) για τον οποίο έχουμε αναφερθεί και παλιότερα.
Για την Ελλάδα εμφανίζεται ως ιός της Δίωξης Ηλεκτρονικού Εγκλήματος. Οι πληροφορίες που εμφανίζονται στην αρχική σελίδα του browser του χρήστη ισχυρίζονται πως είναι από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο.
Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Οι τεχνικοί μας έχουν έρθει αντιμέτωποι με πολλές παραλλαγές του ιού και ο τρόπος καθαρισμού διαφέρει σε μερικά σημεία ανάλογα το λειτουργικό και την έκδοση του ιού. Τις περισσότερες φορές πάντως ακολουθώντας τα παρακάτω βήματα μπορείτε να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.

Αφαίρεση του Ιού της Δίωξης Ηλεκτρονικού Εγκλήματος
1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών
Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt (Ασφαλής Λειτουργία με γραμμή Εντολών) και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.
Ιος Διωξης step 1
2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.
Iος Διωξης step 2
3. Εν συνεχεία ανοίξτε τον Registry editor (Επεξεργαστής Μητρώου) κάνοντας χρήση του Windows command prompt. Πληκτρολογήστε regedit και πατήστε Enter. Ο Registry Editor ανοίγει.


4. Εντοπίστε την ακόλουθη καταγραφή στη registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Στα δεξιά επιλέξτε το registry key (κλειδί μητρώου) ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify (Τροποποίηση)
Η αρχική του τιμή είναι Explorer.exe
.Ιος Δίωξης step 4
Η "πειραγμένη" από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.
Ιος Διωξης step 5
Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σε Explorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.
5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.
Πλήρης τοποθεσία: C:\Documents and Settings\Michael\Desktop\movie.exe

Επανέλθετε σε Normal Mode των Windows (Κανονική Λειτουργία). Για να επανεκκινήσετε το σύστημά σας ενώ είστε σε σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.

Θα πρέπει πλέον να έχετε πρόσβαση στον υπολογιστή σας. Αυτό όμως δεν σημαίνει οτι ο υπολογιστής σας είναι "καθαρός". Θα πρέπει να "τρέξετε" κάποιο anti-malware ή κάποιο trojan-killer πρόγραμμα για να εξαλείψετε όλες τις μολύνσεις. Αν χρειάζεστε παραπάνω βοήθεια επιλέξτε μια υπηρεσία μας και ένας Personal Online Expert μας θα καθαρίσει τον υπολογιστή σας και θα βεβαιωθεί ότι έχετε όλες τις απαραίτητες ρυθμίσεις και ενημερώσεις για να συνεχίζετε να τον χρησιμοποιείται χωρίς προβλήματα. 

http://www.netcomm.gr/posts/ios-dioxis-ilektronikoy-egklimatos-katharismos

(από σχόλιο στην ανάρτηση μας:http://eleftheroiellines.blogspot.gr/2012/07/malware.html )

18 σχόλια:

  1. ΤΟ ΚΑΝΩ ΡΕ ΠΑΙΔΙΑ ΚΑΙ ΟΤΑΝ ΚΑΝΩ ΔΕΞΙ ΚΛΙΚ ΣΤΟ SHELL ΑΝΤΙ ΓΙΑ ΤΟ PATH ΤΟΥ ΙΟΥ ΔΕΙΧΝΕΙ ΚΑΝΟΝΙΚΑ ΤΟ EXPLORER.EXE
    ΓΙΑΤΙ?????????????

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Αγαπητέ "ανώνυμε" δείτε τα σχόλια στην διεύθυνση http://www.netcomm.gr/posts/ios-dioxis-ilektronikoy-egklimatos-katharismos όπου υπάρχει απάντηση στο ερώτημα σας.

      Διαγραφή
    2. Το ίδιο και σε εμένα. Με τα πολλά κατάφερα να λειτουργεί ο υπολογιστής σε κανονική λειτουργία και είδα οτι στην εκκίνηση έχει ένα "runclf", οι ιδιότητες με παραπέμπουν στο rundll32.exe το οποίο δεν μπορώ να το διαγράψω και να το αντικαταστήσω. Καμιά ιδέα?

      Διαγραφή
  2. εγω σε 2 υπολογιστές έκανα το εξης απλό:

    πηγα στο bios και άλλαξα την ημερομηνία ενα μηνα πισω
    μετα άνοιξα κανονικά το pc και απο την επαναφορά συστήματος το γύρισα σε προηγούμενο σημείο αναφοράς. (επέλεξα ενα αρκετά παλιό σε σχέση με την ημέρα που εγκαταστάθηκε ο ιός)
    έκανα επανεκκίνηση και στο ruter και ολα καλά με την επαναλειτουργία του pc γύρισα την ημερομηνία στην τρέχουσα και το πρόβλημα λύθηκε.

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Αγαπητέ μας φίλε "ανώνυμε" το πρόβλημα λύθηκε προσωρινά, ο ιός υπάρχει στον υπολογιστή σας και δεν φεύγει με την αλλαγή στην ημερομηνία του bios. Προτείνουμε να κάνετε τις ενέργειες που αναγράφονται στο άρθρο ώστε να επιλύσετε το πρόβλημα οριστικά.

      Διαγραφή
  3. Το pc μου μολύνθηκε από τη τελευταία 5η!!! έκδοση ιού της δίωξης ηλ εγκλήματος. Οι οδηγίες που κυκλοφορούν στο διαδίκτυο είναι μέχρι τη 4η έκδοση. Μη μασάτε, αν κ έχω win vista και μου εξαφάνισε τον explorer, δεν έμπαινε σε ασφαλή λειτουργία ούτε στην ασφαλή λειτουργία με σύνδεση δικτύου. Δεν πειράζει ανοίγεις τον η/υ σε ασφαλή λειτουργία με γραμμή εντολών , πληκτρολογείς τη λέξη explorer και πατά
    ς Enter. Μετά πληκτρολογείς τη λέξη regedit και πατάς Εnter. Έπειτα αλλάζεις τη διεύθυνση στο παράθυρο που ανοίγει και βρίσκεις τον Υπολογιστή μου. Αφού κατεβάσεις σε άλλο pc http://www.bleepingcomputer.com/download/combofix/dl/12/ ( όλα τα υπόλοιπα στο googlesearch είναι ιοι) και αποθηκεύσεις σε usb, το τρέχεις στο pc με το πρόβλημα. Το αφήνεις να τρέξει μέχρι το 50, κάνει ένα log report , αφού το ανοίξει αν δεν κάνει αυτόματα επανεκκίνηση, γίνεται χειροκίνητα. Αυτό ήταν !! Ο Εφιάλτης του format τελείωσε !!! Ενα μεγάλο ευχαριστώ σε όλους τους φίλους και μη που με βοήθησαν σε αυτό! Καλημέρα!

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Είσαστε οι θεοί μου !!!
      Χίλια μπράβο στον ανώνυμο και σε όλους τους φίλους του !!!
      Πανεύκολο ακόμα και για έναν ασχετο.
      Χίλια ευχαριστώ !!!

      Διαγραφή
    2. file mou to usb pws 8a to tre3w? apo safe mode? apo kononkh leitourgia? 8a arxisw ton ypologisth patwntas to F8 apo to usb? enhmerwse me an mporeis

      Διαγραφή
    3. Φίλε μου είσαι κορυφαίος!!!
      Πάνω που είχα αρχίσει να χάνω το κουράγιο μου, αφού δεν έπιαναν οι λύσεις που πρότειναν διάφορα forum, διάβασα την λύση σου και με έσωσες!!!
      Να είσαι σίγουρος ότι η λύση σου θα βοηθήσει πολύ κόσμο...

      Διαγραφή
    4. Να σαι καλά ρε φίλε!!!! Μου έσωσες μισό μηνιάτικο από επίσκεψη σε "ειδικούς" κλπ...

      Διαγραφή
    5. Οντως ειχα προσβληθει με τον 5η εκδοση μονο η δικη σ λυση δεν τον εμφανιζει πλεον και φαντασου ειμαι κ ψιλοασχετη απο υπολογιστες, ωστοσο ο ιος εχει διαγραφει τελειως ? δλδ χρειαζεται κατι αλλο?

      Διαγραφή
    6. φίλε μου αν και είμαι άσχετος φαίνεται ότι έπιασε και καθάρισα τον υπολογιστή σε ευχαριστούμε που μοιραστηκες τις γνώσεις σου

      Διαγραφή
  4. συνέχεια προηγούμενου μυνήματος...
    για να καταλάβετε ποια έκδοση έχει μολύνει το pc, η 5η έκδοση οταν ανοιγεις το αρχείο shell για τροποποίηση η διαδρομή του αρχείου είναι ήδη explorer.exe και ενεργοποιείται η κάμερα αυτόματα και βγάζει φωτογραφία.

    ΑπάντησηΔιαγραφή
  5. Γεια σας παιδες! Δεν μπορω να τρεξω το combofix απο το usb! Τι κανω για να το τρεξω?

    ΑπάντησηΔιαγραφή
  6. Δοκίμασα τα πάντα και δεν βρήκα λύση! Προφανώς το έχουν εξελίξει πολύ το θέμα! Εγώ κάλεσα έναν τεχνικό στο σπίτι και μου το έφτιαξε με ένα εικοσάρικο! Ευτυχώς! Τον βρήκα εδώ: http://www.logix.gr/computer-fixes/ios-tis-dioxis-ilektronikoy-egklimatos-amesos-katharismos

    ΑπάντησηΔιαγραφή
  7. Κάντε επαναφορά συστήματος, η νέα έκδοση, κρύβει το path οπότε, με την επαναφορά συστήματος, θα σταματήσει να λειτουργεί από μόνος του. Αν δεν λειτουργήσει έτσι, ακολουθήστε την παραπάνω διαδικασία και κάντε τροποποίηση στο shell και γράψτε στο δεύτερο πεδίο "explorer.exe" και μετά κάντε επαναφορά συστήματος, για σιγουριά γύρω στις 15 μέρες πριν εμφανιστί το πρόβλημα.

    ΑπάντησηΔιαγραφή

Τα μηνύματα που δημοσιεύονται στο χώρο αυτό εκφράζουν τις απόψεις των αποστολέων τους. Το ιστολόγιο μας δεν υιοθετεί καθ’ οιονδήποτε τρόπο τις απόψεις αυτές. Ο καθένας έχει δικαίωμα να εκφράζει την γνώμη του, όποια και να είναι αυτή.
Παρακαλούμε να γράφετε με Ελληνικούς χαρακτήρες, επίσης οι σχολιασμοί σας να μη ξεφεύγουν απο τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα διαγράφονται.
Σας ευχαριστούμε για την κατανόηση.
(επικοινωνία:eleftheroi.ellines@gmail.com)