Τετάρτη, Μαΐου 09, 2012

Σας ζητάνε χρήματα μέσω paysafe, ukash (virus, trojan, malware) ;

Είστε θύμα κάποιας πονηρής διαφήμισης ή "τζάμπα" ελέγχου Η/Υ ;

Σας ζητάνε 100€, 100$, ή 19€ για να επανέλθει ο υπολογιστής σας φυσική κατάσταση ;

Αν καταλάβατε ότι πρόκειται για απάτη εδώ θα βρείτε την λύση αλλά αν πάλι δεν το καταλάβατε ήρθε η ώρα να το εμπεδώσετε...

Αναρωτιέστε γιατί το antivirus δεν βρήκε τον υποτιθέμενο ιό ;






Όπως είπαμε ...είναι μια κακοστημένη απάτη που σκοπό έχει να σας εκβιάσει και να σας αποσπάσει χρήματα ξανά και ξανά - ποιος σας λέει ότι δεν θα σας ξαναζητήσει ή ότι δεν θα σας κάνει ζημιά...

Το περίεργο είναι ότι πολλοί θέλουν να πληρώσουν ώστε να μην έχουν μπλεξίματα !!! Αρα πόσοι είναι μπλεγμένοι με τις κατηγορίες που τους προσάπτουν - φανταστείτε !

Η διαφορά μας με τα άλλα blog - site που αναφέρουν το θέμα - είναι ότι δίνουμε την λύση παρακάτω....

Αναρωτιέστε όμως γιατί το καλοπληρωμένο antivirus σας δεν βρήκε τον υποτιθέμενο ιό;

Ας υποθέσουμε ότι το Antivirus Internet Security είναι το Νο. 1 και σαφώς πλήρως αναβαθμισμένο... και βρίσκει το 99% των μολυσματικών προγραμμάτων.... αυτό βρίσκεται στο 1% και θα λέγαμε ότι δεν πρόκειται για ιό αλλά για fake πρόγραμμα που μπαίνει στην εκκίνηση του λειτουργικού σας συστήματος μετά από δικό σας κλίκ σε πονηρό banner ή σε δωρεάν πρόγραμμα ή σε report απειλής για το σύστημα σας.... Με λίγα λόγια την πατήσατε από μια απλή διαφήμιση / βιαστήκατε / ενθουσιαστήκατε... όποτε σημαντικό ρόλο παίζει η χρήση του υπολογιστή και πόσο ξεκάθαρες κινήσεις κάνουμε...

Τα πολύ καλά Antivirus στην επανεκκίνηση σβήνουν το "μολυσματικό" μέρος του ιού - προγράμματος - malware (όπως θέλετε πείτε το...).

Η Λύση - Manual Τρόπος διαγραφής του fake-virus

  • Διαπιστώσατε ότι κατά την εκκίνηση τρέχει ο browser και δεν σας δίνεται η δυνατότητα να κάνετε τίποτα πέρα από το να σερφάρετε αρχικά στο Τμήμα Ασφάλειας Αττικής.
  • Οπότε πρέπει την ώρα που κάνει εκκίνηση ο Η/Υ μετά το post του bios να πατήσετε F8 και να μπείτε με ασφαλή λειτουργία και γραμμή εντολών.
  • Μόλις σας εμφανίσει το prompt πληκτρολογήστε: msconfig και πατήστε enter
  • Βρείτε τυχόν νέα προγράμματα στην Εκκίνηση στοιχείων συνήθως προς τα κάτω... (συνήθως η ονομασία είναι seti0.exe, 0seti.exe, cli8.exe αλλά μπορεί και οτιδήποτε άλλο) - ξετσεκάρετε οτιδήποτε δεν χρειάζεται για την σωστή εκκίνηση του λειτουργικού συστήματος. Πατήστε ΟΚ και κάντε επανεκκίνηση.
  • Όταν θα τελειώσει η εκκίνηση και μπείτε στο σύστημα πατήστε Ctrl-Alt-Delete. Αν σας δίνετε η δυνατότητα να μπείτε στην Διαχείριση Εργασιών τότε όλα πήγαν καλά.
  • Αν όχι κατεβάστε αυτό εδώ (taskmanager.reg) και κάντε εκτέλεση - ώστε να έχετε την δυνατότητα να μπείτε στην Διαχείριση Εργασιών.

Αν συναντήσετε οποιοδήποτε πρόβλημα - ρωτήστε μας.

UPDATES: ΔΙΑΒΑΣΤΕ ΚΑΙ ΤΑ ΣΧΟΛΙΑ ***

27 σχόλια:

  1. 1) Αν διαπιστώσετε ότι κάτι «περίεργο» συμβαίνει στο παιδί σας κατά την πλοήγησή του στο Διαδίκτυο,

    2) Αν εντοπίσετε στο διαδίκτυο υλικό που δείχνει βασανισμούς ή σεξουαλική κακοποίηση παιδιών,

    3) Αν εντοπίσετε στο διαδίκτυο υλικό που δείχνει βασανισμούς ζώων,

    4) Παιδική πορνογραφία (chatroom, ιστοσελίδες) ,

    5) Ιστοσελίδες με σκοπό αποπλάνηση ανηλίκων ,

    6) Απάτες μέσω Διαδικτύου σχετικά με Ηλεκτρονικά Καζίνο, Τυχερά παιχνίδια, Επιστολές και Εικονικές Δημοπρασίες ,

    7) Απάτες με πιστωτικές κάρτες μέσω Internet, αγορές on line μέσω ιστοσελίδων απατηλών-χρέωσεων πιστωτικών καρτών εν αγνοία του κατόχου ,

    8) On-line αγορά και πώληση ναρκωτικών ουσιών ,

    9) Συκοφαντική δυσφήμηση ή παραβίαση προσωπικών δεδομένων μέσω Διαδικτύου (Δημοσίευση ερωτικών η μη φωτογραφιών σας και προσωπικών στοιχείων εν αγνοία σας) ,

    10) Εκβίαση ή Απειλές μέσω Internet ,

    Για όλα τα παραπάνω επικοινωνήστε τηλεφωνικά ή στέλτες email στο Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος, τα στοιχεία επικοινωνίας είναι τα εξής:

    Λ. Αλεξάνδρας 173, Τ.Κ. 115 22 Αθήνα
    Τηλ. : 2106476464, 2106476000
    Fax: 210 6476462
    e-mail: ccu@ath.forthnet.gr

    Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος της Διεύθυνσης Ασφάλειας Αττικής με έδρα Λ. Αλεξάνδρας 173, Αθήνα και τηλέφωνα επικοινωνίας 210-6476463 και 210-6476464.

    Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος της Διεύθυνσης Ασφάλειας Θεσσαλονίκης, με έδρα Μοναστηρίου 326, Θεσσαλονίκη και τηλέφωνα επικοινωνίας 2310-388370 και 2310-388375.

    Το Τμήματα Δίωξης Ηλεκτρονικού Εγκλήματος είναι στη διάθεσή σας για την παροχή οποιασδήποτε συμβουλής και προστασίας.

    ΑπάντησηΔιαγραφή
  2. ti ginetai omws se periptwsi pou den mporeis na mpeis se safe mode logw tou oti o upologistis einai se diktuo kai an den mpeis se safe mode diktuou den anoigei (den dexetai ton kwdiko)
    p.s. ean mpw se safe mode diktuou pali petaei ton io kai den mporw na kanw tipota...

    ΑπάντησηΔιαγραφή
  3. Σε αυτό που λες μπορεί να συμβαίνουν τα εξής:

    * Να έχει τρέξει παλαιότερα κάποιος το control userpasswords2 ώστε να δίνει αυτόματα τον κωδικό (δεν το νομίζω)

    Οπότε λογικά σε ασφαλή λειτουργία με γραμμή εντολών θα μπορείς να μπεις - και θα τρέξεις manual msconfig ή regedit (για να το ψάξεις περισσότερο)

    Βέβαια υπάρχει και η Β φάση του συγκεκριμένου ιού που μπορεί να σας ταλαιπωρήσει....

    Να έχει "αντικαταστήσει" το winlogon.exe (c:\windows\system32) με δικό του οπότε τα πράγματα δυσκολεύουν θα χρειαστείτε bootable flashάκι ή bootable hiren-cd (τύπου) και σε κάποιο flashάκι το απαραίτητο καθαρό winlogon.exe για τα windows σας...

    Οπότε μετά θα μπορείτε να μπείτε με safe mode και να καταργήσετε από το msconfig τις απειλές όπως και με προσοχή από το regedit στο:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    και στο:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    στο Shell... δείτε αν έχει αλλάξει το explorer.exe σε κάτι άλλο... αν ναι.. γράψτε explorer.exe


    Ελπίζα να βοήθησα...

    ΑπάντησηΔιαγραφή
  4. Αν μπήκατε σε ασφαλή λειτουργία με γραμμη εντολών πληκτρολογείστε: msconfig
    - αν μπήκατε σε "σκετη" ασφαλη λειτουργία -> πηγαίνετε έναρξη->εκτέλεση->cmd (ή αλλιώς σημαιάκι+πλήκτρο R, και μετα cmd) και enter και μετα γράψτε msconfig, και enter

    και ακολουθήστε τις οδηγίες που γράφουμε στο blog...

    ΑπάντησηΔιαγραφή
  5. Όσο αφορά το θέμα που έχει προκύψει με τον παραπάνω ιό, σαν λύση η δίωξη ηλεκτρονικού εγκλήματος προτείνει την επανεκκίνηση του ηλεκτρονικού υπολογιστή σε ασφαλή λειτουργία (F8 κατά την εκκίνηση και επιλογή safe mode) και στη συνέχεια επαναφορά του συστήματος σε προγενέστερη ημερομηνία από αυτήν που εμφανίσθηκε το πρόβλημα ( από Πίνακα Ελέγχου κάνουμε κλικ ΄΄ αποκατάσταση΄΄ ). Η παραπάνω διαδικασία καλό είναι να γίνει με κλειστό το modem για σύνδεση στο διαδίκτυο. Εφ' όσον πετύχουμε μετά την επανεκκίνηση σε κανονική λειτουργία να μην εμφανίζεται η σελίδα που παγίδεψε τον υπολογιστή μας, καλό είναι να κάνουμε μια σάρωση με π.χ. το SUPERAntiSpyware Free Edition ή κάποιο ανάλογο. ( Εννοείται ότι το πρόγραμμα αυτό το έχουμε ήδη κατεβασμένο στον υπολογιστή μας. ) Στη σάρωση στον δικό μου υπολογιστή το SUPERAntiSpyware ανακάλυψε και μετακίνησε 432 κακόβουλα λογισμικά από το σκληρό μου δίσκο!...

    ΑπάντησηΔιαγραφή
  6. Se emena itan sto onoma gjxrmolq.exe kai stin dievthinsi:
    C:\ProgramData\gjxrmolq.exe

    ΑπάντησηΔιαγραφή
  7. καλησπερα.

    Εμενα δεν γινεται να κανω κατι ουτε σε safe mode ουτε σε safe mode with command prompt. Σε οποιο και απο τα δυο να μπω, με το που ανοιξει ο υπολογιστης , βγαινει ακαριαια ο ιος..

    Τι να κανω ??

    Επισης αυτο με το bootable usb πως γινεται ??

    ΑπάντησηΔιαγραφή
  8. Όχι απαραίτητα usb... bootable cd, dvd, usb με κάποιο utility σαν το Hirene Cd (που περιέχει windows που φορτώνουν απο cd και utilities για την αλλαγή αλλαγή ή διαγραφή προγραμμάτων που φορτώνονυ στην εκκίνηση) ...

    απαιτούνται όμως κάποιες ιδιαίτερες γνώσεις...

    για Registry Edit και φυσικά για autoruns στον φάκελο c:\windows\i386

    ΑπάντησηΔιαγραφή
  9. *** UPDATE ***

    Αφού κάνετε όλα τα παραπάνω, υπάρχει περίπτωση μετατροπής του malware σε redirect rootkit...

    Τσεκάρετε από DOS prompt κατα προτίμηση

    τον φάκελο C:\Windows\system32\drivers\etc

    με DIR /A
    για να δείτε τυχόν κρυφά αρχεία...

    Αν το host είναι μεγαλύτερο από το κανονικό 1kb... συνήθως
    και μικρότερο από 16kb τότε επεμβείτε με notepad και διαγράψτε οτιδήποτε πέρα από το (1 σειρά):
    127.0.0.1 localhost
    αν είναι ακόμα μεγαλύτερο διαγράψτε το με τις παρακάτω εντολές:
    attrib -r -h -s -a hosts.
    del hosts.
    Αν υπάρχει backup θα το δείτε μέσα στο φάκελο με επέκταση σε .txt (συνήθως το malware κρατά ένα αντίγραφο)
    μετανομάστε το χωρίς επέκταση:
    ren hosts.txt hosts.
    τσεκάρετε τι έχει μέσα με ένα notepad

    Στα Internet Options από τον πίνακα ελεγχου - Επαναφέρετε το Internet Explorer απο την καρτέλλα για προχωρημένους --> Επαναφορα (με διαγραφή προσωπικών στοιχείων κατα προτίμηση),

    Στην καρτέλλα Συνδέσεις, Ρυθμίσεις για προχωρημένους αν είναι τσεκαρισμένο ο διαμεσολαβητής ξετσεκάρετε...

    Προσοχή ανάλογες κινήσεις κάντε στα Εργαλεία για προχωρημένους, Δίκτυο σε όλους τους browsers αν έχετε 3ους (mozilla, chrome κτλ)

    Επίσης τσεκάρετε τις συνδέσεις δικτύου για τυχόν διαφορετικό DNS από το προτινόμενο του παρόχου στις ρυθμίσεις του TCP/IP

    **** Προτιμήστε την Ασφαλεία λειτουργία ***

    ΑπάντησηΔιαγραφή
  10. **** UPDATE ****

    Τελευταία αντιγράφει καί ένα "exe χύμα" στον φάκελο Roaming στον users\user\appdata

    ΑπάντησηΔιαγραφή
  11. Και ένα άλλο site που επεξηγεί με παρόμοιο τρόπο την διαδικασία:

    http://www.2-spyware.com/remove-fbi-moneypak.html

    ΑπάντησηΔιαγραφή
  12. Καλησπέρα.Εχω ενα netbook το οποιο κολησε τον ιο και δεν μπορω να μπω ουτε σε safe mode διοτι δεν βρησκει το αρχειο system.To pc εχει και ubuntu επανω.Μπορω να κανω κατι ετσι ωστε να γλυτωσω το format?Ευχαριστώ

    ΑπάντησηΔιαγραφή
  13. Εφόσον έχεις και ubuntu κάνε check τον δίσκο σου από τα Administration Utilities -> Disk Utility μήπως έχει bad sectors... ? Αν έχει τότε πλέον ξέρεις γιατι δεν μπορείς να μπείς..

    Από την άλλη έστω προσωρινα αν έχεις XP - φόρτωσε με το CD των Windows με εξωτερικό usb dvd drive και μπές στην κονσόλα Επιδιόρθωσης... δοκίμασε να κάνεις επισκευή με chkdsk c: /r /p

    Αν όλα πάνε καλά θα μπορείς να μπείς...

    Φυσικά υπάρχει πιθανότητα να σου έχει κανει ζημια και το GRUB4DOS.... οπότε περιπλέκονται αρκετά τα πράγματα...

    Μπορείς να δοκιμάσεις με ένα bootable cd-dvd Hiren για να βγάλεις τον ιό...

    ΑπάντησηΔιαγραφή
  14. Καλησπερα.

    Εχω αυτον τον ιο, ακολουθησα ακριβως την διαδικασια αλλα δεν εντοπισα κανενα "περιεργο" στοιχειο στην Εκκινηση στοιχειων.

    Καποια προταση?

    ΑπάντησηΔιαγραφή
    Απαντήσεις
    1. Ego to epatha simera to proi prospathisa ta panta i mono lsi pou douleje itan na diagtajo ton xristi mou kai energopoiisa ton admin

      Διαγραφή
  15. Στα σχόλια υπάρχουν updates...

    Τελευταία αντιγράφει καί ένα "exe χύμα" στον φάκελο Roaming στον users\user\appdata

    Κοίτα όμως και στην Registry, Microsoft, Windows, Run, Runonce,

    WindowsNT, Winlogon

    σε όλα USER, USERS, LOCAL_MACHINE

    συνήθως το "πρόγραμμα" - ιός δεν ακουμπάει αρχεία συστήματος - αλλα τρέχει ανεξάρτητα - οπότε κάτι έξτρα θα υπάρχει ή σε φακέλους που τρέχουν αυτόματα ή σε Registry ή Εκκινηση...

    Θέλει ιδιαίτερη προσοχή γιατι καμιά φορά παρομοιάζει ονόματα αρχείων/προγραμμάτων συστήματος..

    ΑπάντησηΔιαγραφή
  16. KALIMERA......EGO TON KSEGELASA ALIOS TON "IO"
    ANIGONTAS TA WINDOWS AN PARATIRISATE BLEPETE TO PERIBALON TONS WIN GIA LIGO...EGO MESA SE AFTON TON XRONO PROLABA KAI PATISA TO ALT-CTRL-DEL
    KAI OTAN ANIKSE APLA PATISA TO TELOS ERGASIAS POLS FORES MEXI POY TO PETIXA....
    META PIGA STIN EKINISI APO TO TIN ENARKSI...BRIKA ENA ARXIO POY DEN POLIMOY ARESE....DEKSI KLIK....
    KAI KITAKSA APO PROERXETE TIS DIO DIEFTHINSIS
    KAI APALA TA ESBISA....
    EMENA ITAN STIS KSIS THESIS KAI ME TA EKSIS ONOMATA:
    C:\WINDOWS\system32\rundll32.exe
    C:\DOCUME~1\dinos\LOCALS~1\Temp\67YrlvB.exe,M1N1

    (dinos ine to onoma tou ipologisti)
    ELPIZO NA BOIHISA

    ΑπάντησηΔιαγραφή
  17. @TONISMETAL

    Παρολου αυτά κάνε ένα έλεγχο στην Registry, και στο φάκελο c:\windows\system32\drivers\etc - το hosts. (type), όπως επίσης τσέκαρε και τα dns...

    Μην ξεχνάμε ότι δεν είναι "ιός" αλλά πρόγραμμα υποκλοπής κατα κύριο λόγο..

    Ευχαριστούμε για το σχόλιο σου και την βοήθεια σου!

    ΑπάντησηΔιαγραφή
  18. Κάντε επανεκκίνηση του υπολογιστή σας.

    Μετά το post του bios πατήστε F8 και επιλέξτε ''Ασφαλή λειτουργία με γραμμή εντολών''.

    Οταν εμφανιστεί το prompt πληκτρολογήστε ''rstrui'' (Restore user interface) και μετά 'Enter'.

    Θα ανοίξει το παράθυρο της ''Επαναφοράς Συστήματος''. Επιλέξτε τη προηγούμενη ή οποιαδήτποτε άλλη (εκτός της παρούσης ημέρας).

    Καλώς εχόντων των πραγμάτων, ο υπολογιστής σας θα ξεκινήσει ''καθαρός''. Κάντε εγκατάσταση κάποιου antivirus και κάντε update.

    Αυτά. Ελπίζω να μη τα χρειαστείτε..σήμερα έφαγα 4 ώρες ψάχνοντας...

    ΑπάντησηΔιαγραφή
  19. @DerKommissar

    αν έχετε ενεργοπ. την προστασία συστήματος (διότι τραβάει πόρους)

    και φυσικά αν δεν έχουν υπάρξει σοβαρές τροποποιήσεις στο σύστημα...

    Παρ'όλα αυτά κάποιες μεταλλάξεις του προγράμματος (δεν είναι ακριβώς ιός) μπορεί να έχουν περάσει με διαφορετικό τρόπο στο σύστημα και να χρειαστεί να ακολουθήσετε όλες τις οδηγίες που αναγράφουμε...

    Ευχαριστούμε πολύ για τα σχόλια σας.

    ΑπάντησηΔιαγραφή
  20. Patao asfali litourgia me grammi entolon k kolaei k meta kanei epanekinnisi ti mporo na kano twra?

    ΑπάντησηΔιαγραφή
  21. @chocco

    Προφανώς έχεις και κάποιο άλλο πρόβλημα.. π.χ. χαλασμένο σκληρό δίσκο ή κάποιο driver λανθασμένο...

    αν πρίν από το συγκεκριμένο ransomware δούλευε κανονικά το λειτουργικό σου...

    τότε:

    bootάρε με bootable cd, dvd, usb με κάποιο utility σαν το Hirene Cd (που περιέχει windows που φορτώνουν απο cd και utilities για την αλλαγή αλλαγή ή διαγραφή προγραμμάτων που φορτώνονυ στην εκκίνηση) ...

    απαιτούνται όμως κάποιες ιδιαίτερες γνώσεις...

    για Registry Edit και φυσικά για autoruns στον φάκελο c:\windows\i386

    αν δείς όμως ότι συνεχίζουν τα προβλήματα αφού αφαιρέσεις τα προγράμματα που τρέχουν στα windows με bootable cd τότε κάνε ένα chkdsk ή καλύτερα checkάρε με κάποιο ubuntu τα smart data του δίσκου μήπως έχει και κάποιο bad sector οπότε θα χρειαστείς και σκληρό δίσκο και φυσικά και format...

    αυτά τα λίγα...

    ΑπάντησηΔιαγραφή
  22. Τελευταία, το αρχείο που δημιουργεί ονομάζεται skype.dat και βρίσκεται συνήθως στο c:\users\username\appdata\roaming ή local

    Μπείτε με ασφαλή λειτουργία με γραμμη εντολών..
    κάντε το attrib -r -h -s -a skype.dat
    και διαγράψτε το με del skype.dat

    Προσοχή! ακολουθήστε τις οδηγίες για πρόληψη από το συγκεκριμένο Ransomware - απο εδώ:

    http://magmafix.blogspot.gr/2013/02/ransomware-paysafe.html

    ΑπάντησηΔιαγραφή
  23. Εγώ δε σκέφτηκα την ασφαλή λειτουργία με γραμμή εντολών, αλλά στην σκέτη ασφαλή λειτουργία μόλις έβαζα χρήστη αυτόματα έκανε restart και με πήγαινε στο κανονικό μπουτάρισμα. Θα δοκιμάσω όμως κι αυτό που προτείνετε.

    ΑπάντησηΔιαγραφή
  24. ενταξει φρικαρα απολυτα γιατι δεν ηξερα αν οντως ισχυε η οχι..εβλεπα ταινια και το σημα στην οθονη χαθηκε και εμφανιστηκε η ειδοποιηση η οποια εδινε ολα τα στοιχεια του χρηστη μου κανονικα το σημα της ελληνικης αστυνομιας και ενα λογοτυπο απο την ευρωπαικο cyber crime κατι τετοια φυσικα το προστιμο 100 ευρω σε 72 ωρες με πληρωμη paysafe card kai ukash και λεγοντας οτι αλλαξε και η νομοθεσια απο τις 3 απριλη κτλ...λεω τι στο καλο τωρα? ενα φορματ λετε κανει δουλεια?

    ΑπάντησηΔιαγραφή
  25. Δεν υπάρχει λόγος για format... αλλά αν θές .. και ξέρεις να κάνεις σωστό format - φυσικά θα κάνει δουλειά - αλλα μην ξεχάσεις αυτή την φορά να βάλεις τελευταίες εκδόσεις java, adobe reader και φυσικά τελευταία έκδοση browser, ie ή firefox ή google chrome... με έναν καλό ad blocker... π.χ. για firefox το adblock plus είναι super !

    ΑπάντησηΔιαγραφή

Linux/Debian/Ubuntu ή Windows

Φτάσαμε σε μια εποχή που τα θέλουμε όλα εύκολα και γρήγορα… οι επιλογές πολλές, οι διαφορές πλέον μειώνονται… Κάποτε το δίλλημα L...