Είστε θύμα κάποιας πονηρής διαφήμισης ή "τζάμπα" ελέγχου Η/Υ ;
Σας ζητάνε 100€, 100$, ή 19€ για να επανέλθει ο υπολογιστής σας φυσική κατάσταση ;
Αν καταλάβατε ότι πρόκειται για απάτη εδώ θα βρείτε την λύση αλλά αν πάλι δεν το καταλάβατε ήρθε η ώρα να το εμπεδώσετε...
Αναρωτιέστε γιατί το antivirus δεν βρήκε τον υποτιθέμενο ιό ;
Όπως είπαμε ...είναι μια κακοστημένη απάτη που σκοπό έχει να σας εκβιάσει και να σας αποσπάσει χρήματα ξανά και ξανά - ποιος σας λέει ότι δεν θα σας ξαναζητήσει ή ότι δεν θα σας κάνει ζημιά...
Το περίεργο είναι ότι πολλοί θέλουν να πληρώσουν ώστε να μην έχουν μπλεξίματα !!! Αρα πόσοι είναι μπλεγμένοι με τις κατηγορίες που τους προσάπτουν - φανταστείτε !
Η διαφορά μας με τα άλλα blog - site που αναφέρουν το θέμα - είναι ότι δίνουμε την λύση παρακάτω....
Αναρωτιέστε όμως γιατί το καλοπληρωμένο antivirus σας δεν βρήκε τον υποτιθέμενο ιό;
Ας υποθέσουμε ότι το Antivirus Internet Security είναι το Νο. 1 και σαφώς πλήρως αναβαθμισμένο... και βρίσκει το 99% των μολυσματικών προγραμμάτων.... αυτό βρίσκεται στο 1% και θα λέγαμε ότι δεν πρόκειται για ιό αλλά για fake πρόγραμμα που μπαίνει στην εκκίνηση του λειτουργικού σας συστήματος μετά από δικό σας κλίκ σε πονηρό banner ή σε δωρεάν πρόγραμμα ή σε report απειλής για το σύστημα σας.... Με λίγα λόγια την πατήσατε από μια απλή διαφήμιση / βιαστήκατε / ενθουσιαστήκατε... όποτε σημαντικό ρόλο παίζει η χρήση του υπολογιστή και πόσο ξεκάθαρες κινήσεις κάνουμε...
Τα πολύ καλά Antivirus στην επανεκκίνηση σβήνουν το "μολυσματικό" μέρος του ιού - προγράμματος - malware (όπως θέλετε πείτε το...).
Η Λύση - Manual Τρόπος διαγραφής του fake-virus
- Διαπιστώσατε ότι κατά την εκκίνηση τρέχει ο browser και δεν σας δίνεται η δυνατότητα να κάνετε τίποτα πέρα από το να σερφάρετε αρχικά στο Τμήμα Ασφάλειας Αττικής.
- Οπότε πρέπει την ώρα που κάνει εκκίνηση ο Η/Υ μετά το post του bios να πατήσετε F8 και να μπείτε με ασφαλή λειτουργία και γραμμή εντολών.
- Μόλις σας εμφανίσει το prompt πληκτρολογήστε: msconfig και πατήστε enter
- Βρείτε τυχόν νέα προγράμματα στην Εκκίνηση στοιχείων συνήθως προς τα κάτω... (συνήθως η ονομασία είναι seti0.exe, 0seti.exe, cli8.exe αλλά μπορεί και οτιδήποτε άλλο) - ξετσεκάρετε οτιδήποτε δεν χρειάζεται για την σωστή εκκίνηση του λειτουργικού συστήματος. Πατήστε ΟΚ και κάντε επανεκκίνηση.
- Όταν θα τελειώσει η εκκίνηση και μπείτε στο σύστημα πατήστε Ctrl-Alt-Delete. Αν σας δίνετε η δυνατότητα να μπείτε στην Διαχείριση Εργασιών τότε όλα πήγαν καλά.
- Αν όχι κατεβάστε αυτό εδώ (taskmanager.reg) και κάντε εκτέλεση - ώστε να έχετε την δυνατότητα να μπείτε στην Διαχείριση Εργασιών.
Αν συναντήσετε οποιοδήποτε πρόβλημα - ρωτήστε μας.
UPDATES: ΔΙΑΒΑΣΤΕ ΚΑΙ ΤΑ ΣΧΟΛΙΑ ***
UPDATES: ΔΙΑΒΑΣΤΕ ΚΑΙ ΤΑ ΣΧΟΛΙΑ ***
1) Αν διαπιστώσετε ότι κάτι «περίεργο» συμβαίνει στο παιδί σας κατά την πλοήγησή του στο Διαδίκτυο,
ΑπάντησηΔιαγραφή2) Αν εντοπίσετε στο διαδίκτυο υλικό που δείχνει βασανισμούς ή σεξουαλική κακοποίηση παιδιών,
3) Αν εντοπίσετε στο διαδίκτυο υλικό που δείχνει βασανισμούς ζώων,
4) Παιδική πορνογραφία (chatroom, ιστοσελίδες) ,
5) Ιστοσελίδες με σκοπό αποπλάνηση ανηλίκων ,
6) Απάτες μέσω Διαδικτύου σχετικά με Ηλεκτρονικά Καζίνο, Τυχερά παιχνίδια, Επιστολές και Εικονικές Δημοπρασίες ,
7) Απάτες με πιστωτικές κάρτες μέσω Internet, αγορές on line μέσω ιστοσελίδων απατηλών-χρέωσεων πιστωτικών καρτών εν αγνοία του κατόχου ,
8) On-line αγορά και πώληση ναρκωτικών ουσιών ,
9) Συκοφαντική δυσφήμηση ή παραβίαση προσωπικών δεδομένων μέσω Διαδικτύου (Δημοσίευση ερωτικών η μη φωτογραφιών σας και προσωπικών στοιχείων εν αγνοία σας) ,
10) Εκβίαση ή Απειλές μέσω Internet ,
Για όλα τα παραπάνω επικοινωνήστε τηλεφωνικά ή στέλτες email στο Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος, τα στοιχεία επικοινωνίας είναι τα εξής:
Λ. Αλεξάνδρας 173, Τ.Κ. 115 22 Αθήνα
Τηλ. : 2106476464, 2106476000
Fax: 210 6476462
e-mail: ccu@ath.forthnet.gr
Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος της Διεύθυνσης Ασφάλειας Αττικής με έδρα Λ. Αλεξάνδρας 173, Αθήνα και τηλέφωνα επικοινωνίας 210-6476463 και 210-6476464.
Τμήμα Δίωξης Ηλεκτρονικού Εγκλήματος της Διεύθυνσης Ασφάλειας Θεσσαλονίκης, με έδρα Μοναστηρίου 326, Θεσσαλονίκη και τηλέφωνα επικοινωνίας 2310-388370 και 2310-388375.
Το Τμήματα Δίωξης Ηλεκτρονικού Εγκλήματος είναι στη διάθεσή σας για την παροχή οποιασδήποτε συμβουλής και προστασίας.
ti ginetai omws se periptwsi pou den mporeis na mpeis se safe mode logw tou oti o upologistis einai se diktuo kai an den mpeis se safe mode diktuou den anoigei (den dexetai ton kwdiko)
ΑπάντησηΔιαγραφήp.s. ean mpw se safe mode diktuou pali petaei ton io kai den mporw na kanw tipota...
Σε αυτό που λες μπορεί να συμβαίνουν τα εξής:
ΑπάντησηΔιαγραφή* Να έχει τρέξει παλαιότερα κάποιος το control userpasswords2 ώστε να δίνει αυτόματα τον κωδικό (δεν το νομίζω)
Οπότε λογικά σε ασφαλή λειτουργία με γραμμή εντολών θα μπορείς να μπεις - και θα τρέξεις manual msconfig ή regedit (για να το ψάξεις περισσότερο)
Βέβαια υπάρχει και η Β φάση του συγκεκριμένου ιού που μπορεί να σας ταλαιπωρήσει....
Να έχει "αντικαταστήσει" το winlogon.exe (c:\windows\system32) με δικό του οπότε τα πράγματα δυσκολεύουν θα χρειαστείτε bootable flashάκι ή bootable hiren-cd (τύπου) και σε κάποιο flashάκι το απαραίτητο καθαρό winlogon.exe για τα windows σας...
Οπότε μετά θα μπορείτε να μπείτε με safe mode και να καταργήσετε από το msconfig τις απειλές όπως και με προσοχή από το regedit στο:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
και στο:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
στο Shell... δείτε αν έχει αλλάξει το explorer.exe σε κάτι άλλο... αν ναι.. γράψτε explorer.exe
Ελπίζα να βοήθησα...
Exw mpei se asfalh leitourgia kai twra???
ΑπάντησηΔιαγραφήΑν μπήκατε σε ασφαλή λειτουργία με γραμμη εντολών πληκτρολογείστε: msconfig
ΑπάντησηΔιαγραφή- αν μπήκατε σε "σκετη" ασφαλη λειτουργία -> πηγαίνετε έναρξη->εκτέλεση->cmd (ή αλλιώς σημαιάκι+πλήκτρο R, και μετα cmd) και enter και μετα γράψτε msconfig, και enter
και ακολουθήστε τις οδηγίες που γράφουμε στο blog...
Όσο αφορά το θέμα που έχει προκύψει με τον παραπάνω ιό, σαν λύση η δίωξη ηλεκτρονικού εγκλήματος προτείνει την επανεκκίνηση του ηλεκτρονικού υπολογιστή σε ασφαλή λειτουργία (F8 κατά την εκκίνηση και επιλογή safe mode) και στη συνέχεια επαναφορά του συστήματος σε προγενέστερη ημερομηνία από αυτήν που εμφανίσθηκε το πρόβλημα ( από Πίνακα Ελέγχου κάνουμε κλικ ΄΄ αποκατάσταση΄΄ ). Η παραπάνω διαδικασία καλό είναι να γίνει με κλειστό το modem για σύνδεση στο διαδίκτυο. Εφ' όσον πετύχουμε μετά την επανεκκίνηση σε κανονική λειτουργία να μην εμφανίζεται η σελίδα που παγίδεψε τον υπολογιστή μας, καλό είναι να κάνουμε μια σάρωση με π.χ. το SUPERAntiSpyware Free Edition ή κάποιο ανάλογο. ( Εννοείται ότι το πρόγραμμα αυτό το έχουμε ήδη κατεβασμένο στον υπολογιστή μας. ) Στη σάρωση στον δικό μου υπολογιστή το SUPERAntiSpyware ανακάλυψε και μετακίνησε 432 κακόβουλα λογισμικά από το σκληρό μου δίσκο!...
ΑπάντησηΔιαγραφήSe emena itan sto onoma gjxrmolq.exe kai stin dievthinsi:
ΑπάντησηΔιαγραφήC:\ProgramData\gjxrmolq.exe
καλησπερα.
ΑπάντησηΔιαγραφήΕμενα δεν γινεται να κανω κατι ουτε σε safe mode ουτε σε safe mode with command prompt. Σε οποιο και απο τα δυο να μπω, με το που ανοιξει ο υπολογιστης , βγαινει ακαριαια ο ιος..
Τι να κανω ??
Επισης αυτο με το bootable usb πως γινεται ??
Όχι απαραίτητα usb... bootable cd, dvd, usb με κάποιο utility σαν το Hirene Cd (που περιέχει windows που φορτώνουν απο cd και utilities για την αλλαγή αλλαγή ή διαγραφή προγραμμάτων που φορτώνονυ στην εκκίνηση) ...
ΑπάντησηΔιαγραφήαπαιτούνται όμως κάποιες ιδιαίτερες γνώσεις...
για Registry Edit και φυσικά για autoruns στον φάκελο c:\windows\i386
*** UPDATE ***
ΑπάντησηΔιαγραφήΑφού κάνετε όλα τα παραπάνω, υπάρχει περίπτωση μετατροπής του malware σε redirect rootkit...
Τσεκάρετε από DOS prompt κατα προτίμηση
τον φάκελο C:\Windows\system32\drivers\etc
με DIR /A
για να δείτε τυχόν κρυφά αρχεία...
Αν το host είναι μεγαλύτερο από το κανονικό 1kb... συνήθως
και μικρότερο από 16kb τότε επεμβείτε με notepad και διαγράψτε οτιδήποτε πέρα από το (1 σειρά):
127.0.0.1 localhost
αν είναι ακόμα μεγαλύτερο διαγράψτε το με τις παρακάτω εντολές:
attrib -r -h -s -a hosts.
del hosts.
Αν υπάρχει backup θα το δείτε μέσα στο φάκελο με επέκταση σε .txt (συνήθως το malware κρατά ένα αντίγραφο)
μετανομάστε το χωρίς επέκταση:
ren hosts.txt hosts.
τσεκάρετε τι έχει μέσα με ένα notepad
Στα Internet Options από τον πίνακα ελεγχου - Επαναφέρετε το Internet Explorer απο την καρτέλλα για προχωρημένους --> Επαναφορα (με διαγραφή προσωπικών στοιχείων κατα προτίμηση),
Στην καρτέλλα Συνδέσεις, Ρυθμίσεις για προχωρημένους αν είναι τσεκαρισμένο ο διαμεσολαβητής ξετσεκάρετε...
Προσοχή ανάλογες κινήσεις κάντε στα Εργαλεία για προχωρημένους, Δίκτυο σε όλους τους browsers αν έχετε 3ους (mozilla, chrome κτλ)
Επίσης τσεκάρετε τις συνδέσεις δικτύου για τυχόν διαφορετικό DNS από το προτινόμενο του παρόχου στις ρυθμίσεις του TCP/IP
**** Προτιμήστε την Ασφαλεία λειτουργία ***
**** UPDATE ****
ΑπάντησηΔιαγραφήΤελευταία αντιγράφει καί ένα "exe χύμα" στον φάκελο Roaming στον users\user\appdata
Και ένα άλλο site που επεξηγεί με παρόμοιο τρόπο την διαδικασία:
ΑπάντησηΔιαγραφήhttp://www.2-spyware.com/remove-fbi-moneypak.html
Καλησπέρα.Εχω ενα netbook το οποιο κολησε τον ιο και δεν μπορω να μπω ουτε σε safe mode διοτι δεν βρησκει το αρχειο system.To pc εχει και ubuntu επανω.Μπορω να κανω κατι ετσι ωστε να γλυτωσω το format?Ευχαριστώ
ΑπάντησηΔιαγραφήΕφόσον έχεις και ubuntu κάνε check τον δίσκο σου από τα Administration Utilities -> Disk Utility μήπως έχει bad sectors... ? Αν έχει τότε πλέον ξέρεις γιατι δεν μπορείς να μπείς..
ΑπάντησηΔιαγραφήΑπό την άλλη έστω προσωρινα αν έχεις XP - φόρτωσε με το CD των Windows με εξωτερικό usb dvd drive και μπές στην κονσόλα Επιδιόρθωσης... δοκίμασε να κάνεις επισκευή με chkdsk c: /r /p
Αν όλα πάνε καλά θα μπορείς να μπείς...
Φυσικά υπάρχει πιθανότητα να σου έχει κανει ζημια και το GRUB4DOS.... οπότε περιπλέκονται αρκετά τα πράγματα...
Μπορείς να δοκιμάσεις με ένα bootable cd-dvd Hiren για να βγάλεις τον ιό...
Καλησπερα.
ΑπάντησηΔιαγραφήΕχω αυτον τον ιο, ακολουθησα ακριβως την διαδικασια αλλα δεν εντοπισα κανενα "περιεργο" στοιχειο στην Εκκινηση στοιχειων.
Καποια προταση?
Ego to epatha simera to proi prospathisa ta panta i mono lsi pou douleje itan na diagtajo ton xristi mou kai energopoiisa ton admin
ΔιαγραφήΣτα σχόλια υπάρχουν updates...
ΑπάντησηΔιαγραφήΤελευταία αντιγράφει καί ένα "exe χύμα" στον φάκελο Roaming στον users\user\appdata
Κοίτα όμως και στην Registry, Microsoft, Windows, Run, Runonce,
WindowsNT, Winlogon
σε όλα USER, USERS, LOCAL_MACHINE
συνήθως το "πρόγραμμα" - ιός δεν ακουμπάει αρχεία συστήματος - αλλα τρέχει ανεξάρτητα - οπότε κάτι έξτρα θα υπάρχει ή σε φακέλους που τρέχουν αυτόματα ή σε Registry ή Εκκινηση...
Θέλει ιδιαίτερη προσοχή γιατι καμιά φορά παρομοιάζει ονόματα αρχείων/προγραμμάτων συστήματος..
KALIMERA......EGO TON KSEGELASA ALIOS TON "IO"
ΑπάντησηΔιαγραφήANIGONTAS TA WINDOWS AN PARATIRISATE BLEPETE TO PERIBALON TONS WIN GIA LIGO...EGO MESA SE AFTON TON XRONO PROLABA KAI PATISA TO ALT-CTRL-DEL
KAI OTAN ANIKSE APLA PATISA TO TELOS ERGASIAS POLS FORES MEXI POY TO PETIXA....
META PIGA STIN EKINISI APO TO TIN ENARKSI...BRIKA ENA ARXIO POY DEN POLIMOY ARESE....DEKSI KLIK....
KAI KITAKSA APO PROERXETE TIS DIO DIEFTHINSIS
KAI APALA TA ESBISA....
EMENA ITAN STIS KSIS THESIS KAI ME TA EKSIS ONOMATA:
C:\WINDOWS\system32\rundll32.exe
C:\DOCUME~1\dinos\LOCALS~1\Temp\67YrlvB.exe,M1N1
(dinos ine to onoma tou ipologisti)
ELPIZO NA BOIHISA
@TONISMETAL
ΑπάντησηΔιαγραφήΠαρολου αυτά κάνε ένα έλεγχο στην Registry, και στο φάκελο c:\windows\system32\drivers\etc - το hosts. (type), όπως επίσης τσέκαρε και τα dns...
Μην ξεχνάμε ότι δεν είναι "ιός" αλλά πρόγραμμα υποκλοπής κατα κύριο λόγο..
Ευχαριστούμε για το σχόλιο σου και την βοήθεια σου!
Κάντε επανεκκίνηση του υπολογιστή σας.
ΑπάντησηΔιαγραφήΜετά το post του bios πατήστε F8 και επιλέξτε ''Ασφαλή λειτουργία με γραμμή εντολών''.
Οταν εμφανιστεί το prompt πληκτρολογήστε ''rstrui'' (Restore user interface) και μετά 'Enter'.
Θα ανοίξει το παράθυρο της ''Επαναφοράς Συστήματος''. Επιλέξτε τη προηγούμενη ή οποιαδήτποτε άλλη (εκτός της παρούσης ημέρας).
Καλώς εχόντων των πραγμάτων, ο υπολογιστής σας θα ξεκινήσει ''καθαρός''. Κάντε εγκατάσταση κάποιου antivirus και κάντε update.
Αυτά. Ελπίζω να μη τα χρειαστείτε..σήμερα έφαγα 4 ώρες ψάχνοντας...
@DerKommissar
ΑπάντησηΔιαγραφήαν έχετε ενεργοπ. την προστασία συστήματος (διότι τραβάει πόρους)
και φυσικά αν δεν έχουν υπάρξει σοβαρές τροποποιήσεις στο σύστημα...
Παρ'όλα αυτά κάποιες μεταλλάξεις του προγράμματος (δεν είναι ακριβώς ιός) μπορεί να έχουν περάσει με διαφορετικό τρόπο στο σύστημα και να χρειαστεί να ακολουθήσετε όλες τις οδηγίες που αναγράφουμε...
Ευχαριστούμε πολύ για τα σχόλια σας.
Patao asfali litourgia me grammi entolon k kolaei k meta kanei epanekinnisi ti mporo na kano twra?
ΑπάντησηΔιαγραφή@chocco
ΑπάντησηΔιαγραφήΠροφανώς έχεις και κάποιο άλλο πρόβλημα.. π.χ. χαλασμένο σκληρό δίσκο ή κάποιο driver λανθασμένο...
αν πρίν από το συγκεκριμένο ransomware δούλευε κανονικά το λειτουργικό σου...
τότε:
bootάρε με bootable cd, dvd, usb με κάποιο utility σαν το Hirene Cd (που περιέχει windows που φορτώνουν απο cd και utilities για την αλλαγή αλλαγή ή διαγραφή προγραμμάτων που φορτώνονυ στην εκκίνηση) ...
απαιτούνται όμως κάποιες ιδιαίτερες γνώσεις...
για Registry Edit και φυσικά για autoruns στον φάκελο c:\windows\i386
αν δείς όμως ότι συνεχίζουν τα προβλήματα αφού αφαιρέσεις τα προγράμματα που τρέχουν στα windows με bootable cd τότε κάνε ένα chkdsk ή καλύτερα checkάρε με κάποιο ubuntu τα smart data του δίσκου μήπως έχει και κάποιο bad sector οπότε θα χρειαστείς και σκληρό δίσκο και φυσικά και format...
αυτά τα λίγα...
Τελευταία, το αρχείο που δημιουργεί ονομάζεται skype.dat και βρίσκεται συνήθως στο c:\users\username\appdata\roaming ή local
ΑπάντησηΔιαγραφήΜπείτε με ασφαλή λειτουργία με γραμμη εντολών..
κάντε το attrib -r -h -s -a skype.dat
και διαγράψτε το με del skype.dat
Προσοχή! ακολουθήστε τις οδηγίες για πρόληψη από το συγκεκριμένο Ransomware - απο εδώ:
http://magmafix.blogspot.gr/2013/02/ransomware-paysafe.html
Εγώ δε σκέφτηκα την ασφαλή λειτουργία με γραμμή εντολών, αλλά στην σκέτη ασφαλή λειτουργία μόλις έβαζα χρήστη αυτόματα έκανε restart και με πήγαινε στο κανονικό μπουτάρισμα. Θα δοκιμάσω όμως κι αυτό που προτείνετε.
ΑπάντησηΔιαγραφήενταξει φρικαρα απολυτα γιατι δεν ηξερα αν οντως ισχυε η οχι..εβλεπα ταινια και το σημα στην οθονη χαθηκε και εμφανιστηκε η ειδοποιηση η οποια εδινε ολα τα στοιχεια του χρηστη μου κανονικα το σημα της ελληνικης αστυνομιας και ενα λογοτυπο απο την ευρωπαικο cyber crime κατι τετοια φυσικα το προστιμο 100 ευρω σε 72 ωρες με πληρωμη paysafe card kai ukash και λεγοντας οτι αλλαξε και η νομοθεσια απο τις 3 απριλη κτλ...λεω τι στο καλο τωρα? ενα φορματ λετε κανει δουλεια?
ΑπάντησηΔιαγραφήΔεν υπάρχει λόγος για format... αλλά αν θές .. και ξέρεις να κάνεις σωστό format - φυσικά θα κάνει δουλειά - αλλα μην ξεχάσεις αυτή την φορά να βάλεις τελευταίες εκδόσεις java, adobe reader και φυσικά τελευταία έκδοση browser, ie ή firefox ή google chrome... με έναν καλό ad blocker... π.χ. για firefox το adblock plus είναι super !
ΑπάντησηΔιαγραφή