ιός δίωξη ηλεκτρονικού εγκλήματος

[babinho]

Γεια σας παιδιά θέλω την βοήθειά σας έχω κολλήση τον ιός που μας βγάζει το μήνυμα της δίωξης ηλεκτρονικού εγκλήματος και ότι πρέπει να πληρώσω για να το βγάλω. παρακαλώ πολύ οποίος ξέρει κάποια μέθοδο να τον βγάλω.

σας ευχαριστώ!:worship:

[kilahed]

Anti Virus δεν εχεις?

Αν εχεις δες αν εχει την επιλογη boot scan :nuke:

[winters]

system restore

[dpolal]

Aπό άλλο υπολογιστή δώσε στο google ή στο youtube «Police scam virus removal» και θα βρείς κάμποσες αναφορές.

Nα σε προειδοποιήσω όμως ότι δεν διορθώνεται πάντα σύμφωνα με ότι λένε και ότι τον έχω δεί να κάθεται σε πισί με πολλά και διάφορα antivirus.

Αν θυμάμαι καλά εκμεταλεύεται μια αδυναμία της java και περνάει στο μηχάνημα.

[SirDiman]

αν θυμαμαι καλα το malware bytes αμα το τρεξεις μεσα απο safe mode θα σου καθαρισει το trojan.

Νομιζω ο φιλος μου το ειχε σβησει απλα απο ενα χωμενο φακελο καπου στο roaming ή documents

[Predator_Crack]

Συνήθως έρχεται με java drive by και εκμετάλευση παρωχημένης έκδοσης και τρυπών του Java όπως αναφέρει ο dpolal. Αρχικά αυτό που θα σου πρότεινα να κάνεις είναι να μπείς σε ασφαλή λειτουργία μέ δίκτυο (εφόσον στο επιτρέπει) και να κατεβασεις μέσω κάποιου browser να κατεβάσεις το ΜΒΑΜ και αφού του κάνεις update, Να τρέξεις ένα QUICK SCAN. Οτιδήποτε βρεί σβήσιμο και κάνεις επανεκκίνηση αναξάρτητα από το άν θα σου ζητήσει ή όχι. Αυτό με την προυπόθεση ότι μπορείς να μπείς σε ασφαλή λειτουργία. Γιατί άν σε αφήνει ακόμα και να ψάξεις με το χέρι τα autoruns προγράμματα μπορείς εφόσον γνωρίζεις τον τρόπο. Εργαλεία υπάρχουν πολλά. Από το msconfig,cccleaner-startups, το autoruns της microsoft και άλλα πολλά.

Άν δέν μπορείς να κάνεις κάτι με ασφαλήλειτουργία, τότε είτε επιλέγεις την λύση του system restore Που αναφέρθηκε ή χρησιμοποιείς ένα boot cd σάν το Hirensbootcd και χρησιμοποιείς τα παρεχόμενα tools για antimalware σε συνδυασμό με το εικονικό xp που θα σε βοηθήσει να επισκεςφτείς τον σκληρό σου χωρίς την παρουσία του internet και τα λοιπά.

~mbam με πρόλαβε ο sirdeaman ¨οπως έγραφα. To Roaming που αναφέρει έιναι σημαντικό. Είναι στην ουσία όπως έχουμε στα XP το C:\Document and settings αυτό πάει C:\Users\ΟΝΟΜΑ ΛΟΓΑΡΙΑΣΜΟΣ ΧΡΗΣΤΗ\Appdata (κρυφός φάκελος)\Roaming Συνήθως εκεί θα βρίσκεις φακέλους που κάθονται από trojan ακόμα και άν έχει binded αρχεία. Πολλοί trojan makers για παράδειγμα το χρησιμοποιούν αυτό για να αποφεύγουν το UAC που μπορεί να εμφανιστεί στα exe. Boηθάει δηλαδή ο φάκελος roaming.

[SpirosKGR]

Καταρχήν αυτά τα περι να πληρώσει δηλώνουν ότι ο ιός είναι καραμπινάτη φόλα !

Fake δηλαδή.

Malwarebytes antimalware και καθάρισες!

[jpavly]

Malware Bytes κλπ μπορεί και να μην κάνουν τη δουλειά για ένα βασικό λόγο, μπορεί ο χρήστης να μην μπορεί καν να μπει σε safe mode, όπως μου έχει τύχει σε PC να μπαίνει safe mode και επί τόπου restart.

Σε γενικές γραμμές τι συμβαίνει: ο "ιός" τύπου Δίωξη Ηλεκτρονικού Εγκλήματος, ανήκει στην κατηγορία RansomWare, μας απειλεί για λύτρα δηλαδή. Δεν είναι ιός, για αυτό και δεν το πιάνουν τα περισσότερα antivirus.

Στην ουσία, αντικαθιστά τον Windows Explorer με το δικό του προγραμματάκι, το οποίο εμφανίζει αυτή τη σελίδα που βλέπετε.

Η "επίθεση" γίνεται μέσω registry key value. Το Key είναι:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Ο πιο άμεσος τρόπος να ανακτήσουμε άμεσα τον έλεγχο του υπολογιστή μας είναι να αλλάξουμε την παραπάνω value που θα δείχνει στο προβληματικό αρχείο και να βάλουμε πάλι το Explorer.exe όπως πρέπει.

Αυτό θα το κάνουμε μπαίνοντας με ένα άλλο account, π.χ. τον Administrator αν δεν χρησιμοποιούμε ήδη αυτό ή όποιο άλλο account έχουμε. Αν δεν έχουμε άλλο account, θα πρέπει να χρησιμοποιήσουμε κάποιο Boot CD (για Windows XP) ή την Recovery Console για Windows 7, με το οποίο θα προσθέσουμε νέο User Account.

Το Live CD για Windows XP είναι το ERD Commander, αλλά ίσως υπάρχει κι άλλο που να κάνει τη δουλειά.

Από Windows 7 Recovery Console, δίνουμε:

net users username password /add

net localgroup "administrators" "username" /add

Μόλις μπούμε με το άλλο account που έχουμε/δημιουργήσαμε ανοίγουμε το Start > Run > Regedit. Tricky part:

Πατάμε στο HKEY_LOCAL_MACHINE (ή αλλιώς HKLM) και πατάμε στο Menu το File > Load Hive.

Ανοίγουμε με το Browse το άλλο profile

Windows XP > C:\Documents And Settings\MolysmenoProfile

Windows Vista και άνω > C:\Users\MolysmenoProfile

και γράφουμε: ntuser.dat και πατάμε Enter.

Μας ζητάει να δώσουμε ένα όνομα, δώστε ότι να 'ναι, π.χ. Dioksi.

Πάμε τώρα στη διαδρομή

HKEY_LOCAL_MACHINE\Dioksi\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Στο Shell θα αναγράφει το αρχείο που μας έκανε τη ζημιά. Αν θέλετε πάτε και το σβήνετε, αλλιώς το αφήνετε για το AntiSpyware που θα τρέξετε μετά.

Το βασικό είναι να γράψετε εκεί Explorer.exe και να πατήσετε ΟΚ.

Πολύ σημαντικό! Πριν κλείσουμε το regedit πρέπει να κάνετε Unload το Hive αλλιώς δεν θα μπορεί να μπει ο άλλος χρήστης. Οπότε πάμε στην αρχή του HKLM\Dioksi και πατάμε από το File > Unload Hive.

Μετά από αυτό reboot με το account σας και σκανάρετε με antispyware της επιλογής σας, π.χ. το MBAM.

[Shaman]

Υπάρχει σε διάφορες version (ανάλογα και με τη χώρα του θύματος) το συγκεκριμένο ransomware. Σε κάποιες από αυτές, αν έχεις webcam, σου δείχνει τη μούρη σου στο παράθυρο και λέει κάτι τύπου "ξέρουμε ποιός είσαι - σε παρακολουθούμε".

Ισπανία:

Hispasec @unaaldia: El virus de la polic

Ιαπωνία (χαβαλέ το paper - διαβάστε άμα δε βαριέστε):

https://www.andrew.cmu.edu/user/nicolasc/publications/CYK-CCS10.pdf

Ιρλανδία:

Ransomware in Irish part of global cyber-extortion attack | esetireland

Νέα Ζηλανδία:

Offsetting Behaviour: When a scam comes together

...and the list goes on.

[swatoner]

Ασφαλής λειτουργία με γραμμή εντολών.

Στο command line γράφουμε explorer.exe

Έχουμε σε flash drive το antimalware και κάνουμε εγκατάσταση. Quick scan και διαγραφή ότι βρει.

Κάνουμε επανεκκίνηση και συνδεόμαστε κανονικά. Ξανά τρέχουμε το antimalware του κάνουμε update και full scan και τέλος ο ιός.

Μετά uninstall java & flash. Restart και εγκατάσταση εξαρχής τελευταίες εκδόσεις. Προσοχή διαγραφή όλες οι παλιές εκδόσεις java γιατί μπορεί να κρατάει έκδοση 6 update 12 πχ κ τέτοια.

Το παραπάνω είναι ο ποιο εύκολος τροπος

*GNex*

[Mikeasdf]

Εγω το είχα βγάλει με τον εξής τρόπο.

Εκκίνηση σε safe mode αποσυνδεδεμένος απο το internet, msconfig στην έναρξη, βρίσκεις το πρόγραμμα που εκκινείται μαζί με τα windows και σου κάνει αυτή τη *******, πας στο path του το delareis και τέλος.

[swatoner]

Αυτό στην παλιά έκδοση mikeasdf . βγήκε αργότερα άλλη που εκτός δικτύου δε σε αφήνει καθόλου να δουλέψεις στον explorer.exe

[Mikeasdf]

Δεν το ήξερα αυτό..ευχαριστώ για την ενημέρωση ^^

[HotPeanut]

Έχω κάνει δουλειά και με bitdefender rescue cd.

[venom7]

Μπαίνεις safe mode, ανοίγεις msconfig και από εκεί τσεκάρεις το όνομα και το απενεργοποιείς.Μετά πας εκεί που είναι και απλά το σβήνεις.simple as that.

β τρόπος.

Κατεβάζεις tune up utilities, ανοίγεις configure system start up και από εκεί απλά σταματάς να τρέχει κατά την εκκίνηση των windows και μετά απλά το σβήνεις όπως πριν.

Το έχω συναντήσει σε αρκετά pc.

[swatoner]

Μπαίνεις safe mode, ανοίγεις msconfig και από εκεί τσεκάρεις το όνομα και το απενεργοποιείς.Μετά πας εκεί που είναι και απλά το σβήνεις.simple as that.

β τρόπος.

Κατεβάζεις tune up utilities, ανοίγεις configure system start up και από εκεί απλά σταματάς να τρέχει κατά την εκκίνηση των windows και μετά απλά το σβήνεις όπως πριν.

Το έχω συναντήσει σε αρκετά pc.

Πότε το δοκιμάσεις τελευταία φορά αυτό; δεν φαίνεται στο msconfig αν θυμάμαι καλά. Αν και αύριο θα πιάσω laptop που έχει κολλήσει τον ιό.

*GNex*

[venom7]

Πάει κάνα 6μηνο περίπου την τελευταία φορά.Αλλά κάθε φορά το έκανα ή με τον έναν ή με τον άλλο τρόπο.

[jpavly]

Μπαίνεις safe mode, ανοίγεις msconfig και από εκεί τσεκάρεις το όνομα και το απενεργοποιείς.Μετά πας εκεί που είναι και απλά το σβήνεις.simple as that.

β τρόπος.

Κατεβάζεις tune up utilities, ανοίγεις configure system start up και από εκεί απλά σταματάς να τρέχει κατά την εκκίνηση των windows και μετά απλά το σβήνεις όπως πριν.

Το έχω συναντήσει σε αρκετά pc.

Η τελευταία του έκδοση δεν φαίνεται στο msconfig γιατί λειτουργεί οπως έχω γράψει στο post μου.

Posted from my mobile.

[apotsi]

Το πιό απλό που έχω βρει εγώ σαν λύση είναι:

Έναρξη σε Safe mode Command Prompt only

Regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Εκεί εκτός από το Explorer.exe (που θα έπρεπε να έχει ΜΟΝΟ) θα έχει και κάτι άλλο.

Το σημειώνεται το πλήρες path αυτού σε ένα χαρτάκι και το σβήνετε και αφήνετε μόνο το Explorer.exe

(σημείωση: εκτός από το HKEY_LOCAL_MACHINE μου έχει τύχει να το βρω και στο HKEY_Current_User)

Κλείνετε το regedit.

Εκτελέστε explorer.exe και πηγαίνεται στο path που σημειώσατε παραπάνω.

και σβήστε το αρχείο.

Τελευταίο βήμα: Εγκαταστήστε καλύτερο antivirus ή/και Malwarebytes Anti-Malware.

[Γιάννης_84]

Στην περίπτωση που δεν μπαίνει καν σε safe mode με command prompt, χρησιμοποιώ live cd με κάποιο οποιοδήποτε λειτουργικό και αδειάζω όλα τα temp folders όπου και εάν αυτά βρίσκονται. (c:\windows\temp, c:\users\user\appdata\local\temp, c:\temp κτλ), σβήνω ένα skype.dat που υπάρχει χύμα στο c:\users\user\appdata\roaming, σβήνω τα χύμα αρχεία που έχει στο c:\programdata τα οποία συνήθως έχουν ημερομηνία τροποποίησης ίδια με την ημερομηνία που εμφανίστηκε ο ιός και τσεκάρω επίσης τα dll και τα sys αρχεία που έχουν ίδια ημερομηνία τροποποίησης.

Μετά από όλα αυτά συνήθως μπορώ και μπαίνω έστω safe mode με network και με ένα updated mbam ξετρυπώνω και ότι άλλο πιθανόν γλύτωσε συμπεριλαμβανομένων των αντίστοιχων registry keys.

Κάτι ακόμα που έχω κάνει καναδυό φορές παλιότερα είναι search όλο το users folder για *.dll;*.sys;*.exe;*.bat;*.vbs και σβήσιμο των περισσοτέρων. Έχω την εντύπωση ότι σε αυτά τα folders δεν έχουν καμία δουλειά να υπάρχουν τέτοιοι τύποι αρχείων εκτός βέβαια από τα διάφορα downloads που έχουμε κάνει εμείς (που όλο και κάποιο gpuz.exe θα υπάρχει) τα οποία όμως μόλις τα δούμε ξεχωρίζουν αμέσως σε σχέση με τα υπόλοιπα.