Σενάριο 1Αυτή τη στιγμή πολλοί υπολογιστές έχουν προσβληθεί με μια εφαρμογή ransomware η οποία μπλοκάρει τον υπολογιστή του χρήστη και ζητά λύτρα για την απελευθέρωσή του. Αυτός ο ιός είναι γνωστός και ως η απάτη της Μητροπολιτικής Αστυνομίας (Metropolitan Police scam). Οι πληροφορίες εμφανίζονται στην αρχική σελίδα του browser του χρήστη από την Ελληνική Αστυνομία και αναφέρουν ότι ο χρήστης έχει προβεί σε παράνομες ενέργειες και θα πρέπει να πληρώσει πρόστιμο. Το μήνυμα αυτό είναι πλαστό και δεν προέρχεται σε καμία περίπτωση από την Ελληνική Αστυνομία αλλά είναι μέρος της προσπάθειας εξαπάτησης χρηστών για την απόσπαση χρηματικών ποσών. Απλώς ακολουθήστε τα παρακάτω βήματα αντιμετώπισής του προκειμένου να επαναφέρετε τον υπολογιστή σας στην αρχική του κατάσταση.
Αφαίρεση του Metropolitan Police Virus Malware
1. Επανεκκινήστε τον υπολογιστή σας σε Ασφαλή Λειτουργία με γραμμή εντολών Safe Mode with Command Prompt. Όσο ο υπολογιστή σας είναι σε διαδικασία εκκίνησης πατήστε το F8 παρατεταμένα μέχρι να εμφανιστεί το μενού Windows Advanced Options Menu όπως φαίνεται παρακάτω. Χρησιμοποιήστε τα βελάκια για να μετακινηθείτε στο Safe Mode with Command Prompt και πατήστε Enter. Κάντε login με το ίδιο όνομα χρήστη με το οποίο μπήκατε πριν στο κανονικό περιβάλλον των Windows.
2. Όταν τα Windows φορτώσουν, η γραμμή εντολών των Windows θα εμφανιστεί όπως φαίνεται παρακάτω. Πληκτρολογήστε εκεί τη λέξη explorer και πατήστε Enter. Ο Windows Explorer θα ανοίξει. Μην τον κλείσετε.
3. Εν συνεχεία ανοίξτε τον Registry editor κάνοντας χρήση του Windows command prompt. Πληκτρολογήστεregedit και πατήστε Enter. Ο Registry Editor ανοίγει.
4. Εντοπίστε την ακόλουθη καταγραφή στη registry:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Στα δεξιά επιλέξτε το registry key ονόματι Shell. Κάντε δεξί click σε αυτό και πατήστε Modify.
Η αρχική του τιμή είναι Explorer.exe.
Η “πειραγμένη” από τον ιό τιμή δείχνει στο εκτελέσιμο του ιού.
Αντιγράψτε την τοποθεσία του εκτελέσιμου σε ένα αρχείο κειμένου Notepad και αλλάξτε την τιμή value data σεExplorer.exe. Πατήστε OK για να αποθηκευτούν οι αλλαγές και βγείτε από τον Registry editor.
5. Αφαιρέστε το κακόβουλο αρχείο. Εντοπίστε βάσει της τοποθεσίας του εκτελέσιμου που σημειώσατε πριν το σημείο στο οποίο είναι αποθηκευμένο. Θα πρέπει να υπάρχει εκεί ένα αρχείο movie.exe.(ή οποιοδήποτε που έχει μέσα *movie* και exe στο τέλος.ΠΧ. hu7654rftmovie.exe )
Πλήρης τοποθεσία: C:Documents and SettingsMichaelDesktopmovie.exe
Επανέλθετε σε Normal Mode των Windows. Για να επανεκκινήσετε το σύστημά σας όντας σε command prompt, πληκτρολογήστε shutdown /r /t 0 και πατήστε Enter.
6. Κατεβάστε το προτεινόμενο anti-malware software (Spyware Doctor) ή το GridinSoft Trojan
[Πρέπει να είστε εγγεγραμμένοι και συνδεδεμένοι για να δείτε αυτόν το σύνδεσμο.] και τρέξτε ένα πλήρες system scan για να αφαιρεθούν τυχόν κατάλοιπα του ιού από τον υπολογιστή σας. Αυτό ήταν!
Σενάριο 2Επίσης ο συγκεκριμένος ιός έχει παρουσιαστεί σε μορφή redirect δηλαδή ανοίγει πολλά παράθυρα του Internet Explorer και σας παραπέμπει σε αντίστοιχη ιστοσελίδα.Σε αυτή την περίπτωση Προχωρείτε στο Βήμα 1 , απλά επιλέγετε Ασφαλής λειτουργία.
Βήμα 2 Αφού ανοίξουν τα windows θα βρείτε στο μενού Έναρξη – Όλα τα προγράμματα- Εκκίνηση , ένα περίεργο shortcut της μορφής π.χ kjohwhfEF324.exe.Κάνοντας δεξί κλικ στο εικονίδιο αυτό και προβολή στο φάκελο του , λογικά θα σας μεταφέρει στο φάκελο c:windowssystem32 και θα δείτε ένα αρχείο με εικονικό όνομα RunDLL32 ΜΗ το σβήσετε.Αρχικά σβήστε το shortcut από το μενού που προαναφέραμε, ώστε να μη σας ταλαιπωρεί.
Βήμα 3 Είναι βασικό να αντικαταστήσετε το RUNDLL32 με το σωστό αρχείο.