Σενάριο 1
Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam). Οι πληροφορίες εμφανίζονται στην αρχική σελίδα του browser του χρήστη από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο. Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Απλώς ακολουθήστε τα παρακάτω βήματα αντιμετώπισής του προκειμένου να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.
Αφαίρεση του Metropolitan Police Virus Malware
1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών Safe Mode with Command Prompt. Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού Windows Advanced Options Menu όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.
2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.
3. Εν συνεχεία ανοίξτε τον Registry editor κάνοντας χρήση του Windows command prompt. Πληκτρολογήστεregedit και πατήστε Enter. Ο Registry Editor ανοίγει.
4. Εντοπίστε την ακόλουθη καταγραφή στη registry:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Στα δεξιά επιλέξτε το registry key ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify.
Η αρχική του τιμή είναι Explorer.exe.
Η “πειραγμένη” από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.
Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σεExplorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.
5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.
Πλήρης τοποθεσία: C:Documents and SettingsMichaelDesktopmovie.exe
Επανέλθετε σε Normal Mode των Windows. Για να επανεκκινήσετε το σύστημά σας όντας σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.
6. Κατεβάστε το προτεινόμενο anti-malware software (Spyware Doctor) ή το GridinSoft Trojan Killerhttp://trojan-killer.net/download.php και τρέξτε ένα πλήρες system scan για να αφαιρεθούν τυχόν κατάλοιπα του ιού από τον υπολογιστή σας. Αυτό ήταν!
Σενάριο 2
Επίσης ο συγκεκριμένος ιός έχει παρουσιαστεί σε μορφή redirect δηλαδή ανοίγει πολλά παράθυρα του Internet Explorer και σας παραπέμπει σε αντίστοιχη ιστοσελίδα.Σε αυτή την περίπτωση Προχωρείτε στο Βήμα 1 , απλά επιλέγετε Ασφαλής λειτουργία.
Βήμα 2 Αφού ανοίξουν τα windows θα βρείτε στο μενού Έναρξη – Όλα τα προγράμματα- Εκκίνηση , ένα περίεργο shortcut της μορφής π.χ kjohwhfEF324.exe.Κάνοντας δεξί κλικ στο εικονίδιο αυτό και προβολή στο φάκελο του , λογικά θα σας μεταφέρει στο φάκελο c:windowssystem32 και θα δείτε ένα αρχείο με εικονικό όνομα RunDLL32 ΜΗ το σβήσετε.Αρχικά σβήστε το shortcut από το μενού που προαναφέραμε, ώστε να μη σας ταλαιπωρεί.
Βήμα 3 Είναι βασικό να αντικαταστήσετε το RUNDLL32 με το σωστό αρχείο.Ζητήστε από κάποιο τεχνικό μια καθαρή έκδοση του συγκεκριμένου αρχείου .
Σχολιάστε στο θέμα αυτό με την έκδοση του λειτουργικού σας συστήματος και τη γλώσσα.Δηλαδή Windows XP EN ή Windows 7 GR .Ώστε να σας στείλουμε το σωστό αρχείο.
Αν δεν είστε απόλυτα σίγουροι για την παραπάνω διαδικασία, ΜΗ την κάνετε μόνοι σας και απευθυνθείτε σε ένα τεχνικό.
Αν σας έχει αποθηκεύσει το αρχείο του ιού σε κάποιο άλλο σημείο σχολιάστε , ώστε να ενημερώσουμε το άρθρο.Ευχαριστούμε
ΠΗΓΗ ΑΡΘΡΟΥ: otenet.gr, dsdc.gr
Μαρ
Εμενα μου παρουσιαστηκε σημερα!Τον πρωτο τροπο δεν τον προσπαθησα,θα εθει ενας φιλος αυριο πιο ειδκος να τα δει,ωστοσο στο δευτερο τροπο εντοπισα μια συντομευση με ονομα ctfmon που ςσε παει στο system32.Eχω Windows Vista ΕL
Αυτό είναι και το αρχείο του ιού σε διάφορες εκδόσεις του.Ένα Delete και τέλος.
Εμενα μου το εμφανιζει με το 2ο τροπο ως lsass στο τοπικο δισκο C στο programdata. Εχω vista ελληνικα.
Μου εμφανίστηκε το ίδιο πρόβλημα σήμερα. Το θέμα είναι ότι όταν πατήσω να ανοίξει με safe mode, δεν ανοίγει καν, αλλά η οθόνη παραμένει μαύρη με μια παυλιτσα να αναβοσβηνει στην πάνω αριστερά γωνία της.
Labrini σε αυτή την περίπτωση χρειάζεσαι ένα σκανάρισμα για ιούς από antivirus.Στις περιπτώσεις αυτές πρέπει να κατεβάσετε έκδοση antivirus boot.Τα γνωστότερα antivirus στο περιβάλλον διαχείρισης τους έχουν την επιλογή δημιουργίας boot cd.Με αυτό το τρόπο κάνουμε scan πριν μπούμε στα windows.Αυτό που χρησιμοποιώ εγώ είναι το kasperksy antivirus.Με την boot έκδοση του συγκεκριμένου λογισμικού μπόρεσα να αφαιρέσω το κακόβουλο λογισμικό.Σε αυτή την περίπτωση επειδή οι ρυθμίσεις είναι, λίγες μεν, αλλά δύσκολες για έναν απλό χρήστη , πρέπει να απευθυνθείτε σε κάποιο ειδικό.
επειδη δεν μπορω να μπω σε safe mode δοκιμασα τον 2ο τροπο, εχω Windows 7 GR , μπορω να παρω το αρχειο το RUNDLL32 απο καποιον αλλον υπολογιστη που λειτουργει κανονικα;
loipon paidia..xriazomai ligi voithia giati kollhsa ton io simera kai prospathw wres na ta kataferw xwris vevaia na 3erw polla apo upologistes..ekana epanekinisi kai mpika se safe mode..akolouthisa sti sunexeia ta parapanw vimata. otan patisa explorer mou evgale ena plaisio pou me rwtousa an thelw na kanw epanafora susthmatos mpla mpla mpla kai patisa nai..stin sunexeia vrika to arxeio shell kai anti na mou vgazei tin piragmeni timi mou vgazei e3arxhs tin timi explorer.exe … den i3era ti na kanw meta kai 3ekinisa plhrh elegxo susthmatos apo to eidh apothikeymeno antivirus (avast) .. tha parakalousa kapios na mou apanthsei gia na enimerothw an exw kanei kati lathos kai na m pei ti akrivws na kanw.
paidia,se emena twra emfanisthke o sugekrimenos ios kai enw kanw thn prwth diadikasia kai vriskw to shell h topo8esia tou einai kanonika sto explorer.exe kai den 3erw ti na kanw an kapoios mporei na voi8hsei parakalw polu. euxaristw
εμενα μοθ εμφανιστηκε στο browser και δεν με αφηνε να το κλεισω ,το ακλεισα με ctlr alt del και μετα το ξανα ανοιξα χωρις προβλημα!
Πρεπει να ανησυχώ?
Εάν εμφανίστηκε καλό είναι να κάνεις ένα scan με κάποιο πρόγραμμα προστασίας κατέβασε αυτό (http://trojan-killer.net/), είναι trial.Εάν υπάρχει θα το βρει.