Venus AUEB Forum

Φιλικό μου πρόσωπο μου ανέφερε σήμερα ότι κατά την περιήγησή του στο ίντερνετ ξαφνικά εμφανίστηκε μια άσπρη οθόνη
όπου του έλεγε "Παρακαλώ περιμένετε να φορτώσει το πρόγραμμα..." και στη συνέχεια του εμφανίστηκε η παρακάτω οθόνη.

Ο υπολογιστής του κλείδωσε και δεν επέτρεπε καμία άλλη ενέργεια, μόνο το Ctrl+Alt+Del, αλλά οτιδήποτε και να επέλεγες από εκεί, πάλι σε αυτή την οθόνη σε έβγαζε. Ούτε shutdown-restart μπορούσε να γίνει, ενώ και όταν το έκλεισε από το κουμπί και επέλεξε να ξεκινήσει σε safe mode, πάλι εμφανίστηκε αυτή η οθόνη.

Εν ολίγοις, αυτή η οθόνη είναι δήθεν από την Ελληνική Αστυνομία και σε ενημερώνει ότι στον υπολογιστή σου βρέθηκαν παράνομα αρχεία μουσικής. Σου πετάει μερικά άρθρα του νόμου περί πνευματικής ιδιοκτησίας, σου αναφέρουν την IP και το DNS name του υπολογιστή σου, και στη συνέχεια σε καλούν να πληρώσεις 100€ πρόστιμο μέσω paysafe card.

Το ότι ήταν ιός έκανε μπαμ, σιγά μην η αστυνομία μάζευε πρόστιμα με paysafe. Εψαξα λίγο στο google, και στο site της paysafe αναφέρει μια προειδοποίηση για αυτό το λογισμικό.

Το θέμα έιναι ότι τώρα ο υπολογιστής κλειδώνει αμέσως. Ξέρει κανείς κάποιο πρόγραμμα σε boot cd, ή από live cd Linux που να μπορεί να αφαιρεσει αυτό το πρόγραμμα ? Για να γλιτώσουμε το format?

Δες μήπως αυτό σε βοηθήσει.Επίσης μπορεί να είναι οποιοδήποτε .exe με "περίεργο" path και όχι μόνο το movie.exe που αναφέρεται.

So, it has come to this...
https://venus.cs.aueb.gr/portal/9711/%C ... %84%CF%85/

μετα τα quotes διασημων η νεα μοδατη συνηθεια ειναι τα links στο portal?

αμα διαβασεις ολοκληρο το μηνυμα του, ο Νικος ζηταει και βοηθεια για το πως μπορει να το αφαιρεσει χωρις format, δεν κανει απλη ενημερωση
------

@ nickpro

μπορεις να δοκιμασεις τιποτα τετοιο: http://deletemalware.blogspot.gr/2011/0 ... mware.html
μιας και αυτο δεν ειναι μονο για Ελλαδα αλλα απλα αλλαζει την εικονα του αναλογα με τη χωρα, ενα απλο google search σου λεει και περισσοτερα αμα θελεις


edit : παρομοιο λινκ εχει και 2 μηνυματα πιο πανω, δεν το ειχα δει.

Wow flame ακόμα και σε κάτι τέτοιο.

Όπως και να έχει ευχαριστώ για όλες τις απαντήσεις. Και σόρρυ που δεν διαβάζω το portal.

Έχω βάλει και τρέχει ένα boot cd με το Antivir Rescue System. Όταν τελειώσει θα δοκιμάσω αυτό που λέει το link, αλλά δεν ξέρω αν θα δουλέψει, μιας και δοκίμασα να μπω σε safe mode και πάλι βγήκε αυτή η οθόνη.

Αν είδες στο link που πόσταρε ο Moonshadow λέει ότι ο ιος αλλάζει τη registry για να ξεκινάει το movie.exe αντί του explorer.
Άρα αν πας στο safe mode απλά πάει να ξεκινήσει τον explorer και ξεκινάει το movie.exe αντί αυτού. Αν πας από την επιλογή safe mode with command prompt όπως λέει και στο link θα είσαι οκ λογικά.

Αν για κάποιο λόγω δε πιάσει μπες με ένα live cd και όπως λέει εδώ (http://lifehacker.com/5584762/edit-the- ... humb-drive) άλλαξε την εγγραφή στη registry και διέγραψε το αρχείο χειροκίνητα.

Master_ex wrote:Αν είδες στο link που πόσταρε ο Moonshadow λέει ότι ο ιος αλλάζει τη registry για να ξεκινάει το movie.exe αντί του explorer.
Άρα αν πας στο safe mode απλά πάει να ξεκινήσει τον explorer και ξεκινάει το movie.exe αντί αυτού. Αν πας από την επιλογή safe mode with command prompt όπως λέει και στο link θα είσαι οκ λογικά.

Αν για κάποιο λόγω δε πιάσει μπες με ένα live cd και όπως λέει εδώ (http://lifehacker.com/5584762/edit-the- ... humb-drive) άλλαξε την εγγραφή στη registry και διέγραψε το αρχείο χειροκίνητα.

Περιέργως η επιλογή "Safe mode with command prompt" μου βγάζει πάλι το άσπρο. Το rescue disk δεν τα κατάφερε. Άρα θα πάω με live cd και λογικά θα είμαι οκ.

----------

Λοιπόν, χρησιμοποίησα το chntpw από ubuntu, άνοιξα την registry, είδα ποιο αρχείο εκτελείται, άλλαξα την εγγραφή της registry, και διέγραψα το αρχείο.

Όμως τώρα στο startup είχα απλά ένα ποντίκι σε μια μαύρη οθόνη. Λέω κάτσε να δω, ξαναμπαίνω με live cd, ξανανοίγω registry, και η εγγραφή αναφερόταν πάλι στο κακόβουλο αρχείο, το οποίο όμως βέβαια δεν υπήρχε πια. Από ότι μπορώ να υποψιαστώ, τρέχει κάτι στο startup που πάει και τσεκάρει την εγγραφή μου, και της δίνει το path που πρέπει να εκτελεστεί, και επειδή δεν το βρίσκει, απλά δεν φορτώνεται τίποτα.

Πώς μπορώ να επιβεβαιώσω κάτι τέτοιο?? Μπορώ να δώ κάπως οτιδήποτε τρέχει στο startup ? Το μόνο εργαλείο που έχω τώρα, είναι safe mode + cmd. Και βέβαια το live cd.

p.s. Έχω φάει να νιάτα μου στο google και έχω δει πράγματα για το Windows που δεν ήξερα καν ότι υπάρχουν, αλλά τζίφος....

p.s.2: Μέσω cmd από safe mode, θα μπορούσα να εγκαταστήσω κάποιο antispyware πρόγραμμα και να το εκτελέσω, ελπίζοντας ότι θα τα βρει όλα αυτό. Γνωρίζει κανείς κανένα καλό? Free είτε από torrent..

Κατέβασε, κάψε και μπούταρε με αυτό: http://www.hirensbootcd.org/
Θα έχεις μια ποικιλία από εργαλεία να ξεβρωμίσεις το PC.

παιδιά χωρίς πλάκα, σήμερα στο λεοφωρείο άκουγα έναν να μιλάει στο κινητό που την έπαθε με αυτόν τον ιό. Πήρε την αστυνομία διότι θεωρούσε ότι το θέμα την αφορά, καθώς αναγράφεται το logo της! Εκεί του είπαν ότι το θέμα δεν τους αφορά καθόλου, ότι ουσιαστικά είναι θύμα απάτης που δεν τους εμπλέκει καθόλου. Η δίωξη ηλεκτρονικού εγκλήματος ασχολείτει μόνο με παιδική πορνογραφία και κάτι άλλο είπε που δεν κατάλαβα. Κι επίσης αν κατάλαβα καλά, του είπαν ότι με 50 ευρώ του κάνουν φορμάτ στο pc και ξεμπερδεύει!!
Ή του στέλνουν έναν "μάστορα" που με 100ευρώ θα προσπαθήσει να ξεκλειδώσει το Pc σπάζοντας το password του ιού.

Πραγματικά τα άκουσα έτσι όπως τα γράφω!

theo wrote:παιδιά χωρίς πλάκα, σήμερα στο λεοφωρείο άκουγα έναν να μιλάει στο κινητό που την έπαθε με αυτόν τον ιό. Πήρε την αστυνομία διότι θεωρούσε ότι το θέμα την αφορά, καθώς αναγράφεται το logo της! Εκεί του είπαν ότι το θέμα δεν τους αφορά καθόλου, ότι ουσιαστικά είναι θύμα απάτης που δεν τους εμπλέκει καθόλου. Η δίωξη ηλεκτρονικού εγκλήματος ασχολείτει μόνο με παιδική πορνογραφία και κάτι άλλο είπε που δεν κατάλαβα. Κι επίσης αν κατάλαβα καλά, του είπαν ότι με 50 ευρώ του κάνουν φορμάτ στο pc και ξεμπερδεύει!!
Ή του στέλνουν έναν "μάστορα" που με 100ευρώ θα προσπαθήσει να ξεκλειδώσει το Pc σπάζοντας το password του ιού.

Πραγματικά τα άκουσα έτσι όπως τα γράφω!

Καλά η αλήθεια είναι ότι δεν τους αφορά. Αλλά αναφορικά τελείως, στο site της paysafe αναφέρουν για αυτή την απάτη, και μάλιστα καλούν όσους πλήρωσαν, να επικοινωνήσουν με την εταιρία. Λογικά θα τους δώσουν τα λεφτά πίσω. Αν και δεν είναι υποχρεωμένοι.

Πάντως σύμφωνα με τα λεγόμενα της αστυνομίας, αν ξεκλειδώσω το pc του φίλου μου, μετά βρήκα δουλειά με μεροκάματο 100 ευρώ.

Εαν κάποιος έχει το εκτελέσιμο που το προκάλεσε/whatever, στείλτε το μου να το δω λίγο

netharis wrote:Εαν κάποιος έχει το εκτελέσιμο που το προκάλεσε/whatever, στείλτε το μου να το δω λίγο

για να το κανεις καλύτερο ? και μετά να σε πληρώνουν για να φτιάξεις κάτι που το προκάλεσες εσύ και να πεις "θα δω τι μπορώ να κάνω για να το φτιάξω" scumbag netharis

Bad joke ala_mages

MpoMp wrote:Bad joke ala_mages

Μήπως περπόδηκε κανείς?

PASCAL wrote:Κατέβασε, κάψε και μπούταρε με αυτό: http://www.hirensbootcd.org/
Θα έχεις μια ποικιλία από εργαλεία να ξεβρωμίσεις το PC.

Thanks. Θα του δώσω μια ευκαιρία πριν πάω σε format. Τελικά η ελληνική version του ιού είναι πολύ πιο ζόρικη από τις άλλες...Κατά πάσα πιθανότητα δεν θα μπορέσω να βρω κάποια λύση και αναγκαστικά θα πάω σε format.

nickpro wrote:

Master_ex wrote:Αν είδες στο link που πόσταρε ο Moonshadow λέει ότι ο ιος αλλάζει τη registry για να ξεκινάει το movie.exe αντί του explorer.



Όμως τώρα στο startup είχα απλά ένα ποντίκι σε μια μαύρη οθόνη. Λέω κάτσε να δω, ξαναμπαίνω με live cd, ξανανοίγω registry, και η εγγραφή αναφερόταν πάλι στο κακόβουλο αρχείο, το οποίο όμως βέβαια δεν υπήρχε πια. Από ότι μπορώ να υποψιαστώ, τρέχει κάτι στο startup που πάει και τσεκάρει την εγγραφή μου, και της δίνει το path που πρέπει να εκτελεστεί, και επειδή δεν το βρίσκει, απλά δεν φορτώνεται τίποτα.

Πώς μπορώ να επιβεβαιώσω κάτι τέτοιο?? Μπορώ να δώ κάπως οτιδήποτε τρέχει στο startup ? Το μόνο εργαλείο που έχω τώρα, είναι safe mode + cmd. Και βέβαια το live cd.

p.s. Έχω φάει να νιάτα μου στο google και έχω δει πράγματα για το Windows που δεν ήξερα καν ότι υπάρχουν, αλλά τζίφος....

p.s.2: Μέσω cmd από safe mode, θα μπορούσα να εγκαταστήσω κάποιο antispyware πρόγραμμα και να το εκτελέσω, ελπίζοντας ότι θα τα βρει όλα αυτό. Γνωρίζει κανείς κανένα καλό? Free είτε από torrent..

Γιατί δεν αντικαθιστάς το ιομορφικο αρχείο που έσβησες με το αντίγραφο του εκτελέσιμου το οποίο αντικατέστησε. Δεν έχω ασχοληθεί καθόλου με το ιομ. λογισμικό. Απλά μου ήρθε αυτή η ιδέα καθώς διάβασα τη συζήτηση.

adam98 wrote:Γιατί δεν αντικαθιστάς το ιομορφικο αρχείο που έσβησες με το αντίγραφο του εκτελέσιμου το οποίο αντικατέστησε. Δεν έχω ασχοληθεί καθόλου με το ιομ. λογισμικό. Απλά μου ήρθε αυτή η ιδέα καθώς διάβασα τη συζήτηση.

Δοκίμασα να αντικαταστήσω διάφορα πράγματα. Αλλά δεν φάνηκε να πετυχαίνει κάτι.

Μετά είπα να δοκιμάσω το Hiren's Boot που πρότεινε ο PASCAL και άρχισα να τρέχω διάφορα antivirus,antispyware, regeditors, αλλά και πάλι δεν φαινόταν να γίνεται δουλειά.

Επιπρόσθετα των άλλων, είχα βρει στην registry μια μεταβλητή που καθόριζε αν ο χρήστης μπορεί να τρέξει το regedit των windows, αυτή λοιπόν ήταν στην επιλογή να μην μπορώ, και προφανώς την άλλαζε ο ιός.

Γενικά μέχρι ένα σημείο δοκίμαζα να επαναφέρω την registry στην αρχική της μορφή με διάφορα editors αλλά τζίφος.

Συνέχιζα λοιπόν να τρέχω antivirus από το Hiren's μέχρι που κάποια στιγμή πρόσεξα ότι η παραπάνω μεταβλητή της registry δεν ήταν πια σε επιλογή απαγόρευσης. Μου κοψε λοιπόν ότι η registry δεν άλλαζε πια σε κάθε startup και πήγα και την επανέφερα στην αρχική της κατάσταση, και το πρόβλημα λύθηκε. Δεν ξαναέτρεξε κάτι στο startup.

Πιθανή λύση: Μάλλον εγώ ήμουν από τους πρώτους άτυχους, γιατί γενικά άρχισα να ακούω παντού ανθρώπους που είχαν κολλήσει το ίδιο πράγμα. Αφού το δικό μου πρόβλημα λύθηκε, άκουσα από κάποιον ότι αν έφερνες το ρολόι του συστήματος σε ημερομηνία πριν από την μόλυνση το πρόβλημα λυνόταν, και μετά το επανέφερες στη σωστή ημερομηνία. Εγώ τότε θυμήθηκα ότι παίζοντας με το Hiren's κάποια antivirus είχε λήξει η άδειά τους, και εγώ για να τα χρησιμοποιήσω πήγα το ρολόι μου σε παλαιότερη ημερομηνία. Τυχαία έλυσα το πρόβλημά μου δηλαδή.

Παρεπιπτόντως, στις αναφορές για ανάλογους ιούς στο εξωτερικό, δεν αναφέρονταν τα προβλήματα που είχα εγώ, αναφερόταν απλά ότι έπρεπε να αλλάξουν 1 και μοναδική εγγραφή στην registry και μετά όλα κομπλε. Σε εμένα 1) δεν είχα πρόσβαση στην registry 2) οι εγγραφές που έπρεπε να αλλάξω ήταν 6 συνολικά, 3) η ξένη εκδοχή του ιού δεν είχε κάτι που έτρεχε σε κάθε startup και τα έκανε όλα όπως ήθελε.

Spoiler: εμφάνιση/απόκρυψη

Sorry που δεν ανέφερα νωρίτερα ότι λύθηκε το πρόβλημά μου, αλλά λόγω εργασιών και διαβάσματος το ξέχασα τελείως. :oops:

Εμένα το έπαθε η μάνα μου στο laptop.
Το έλυσα κάνοντας reset -> Start windows in safe mode -> System Restore σε προηγούμενη ημερομηνία.

Κάνω revive το thread γιατί μόλις άκουσα το πιο epic πράγμα regarding this, από έναν φίλο μου που στήνει pc σαν εμένα...

Του φτιάχνω το pc, του κάνω activate τα windows, και του περνάω και κάτι ταινίες και anime που μου ζήτησε στο τέλος, Του λέω με γεια, και για ο,τι πρόβλημα έχεις, πάρε με τηλ...

Σε ένα μήνα με παίρνει στο skype από το λάπτοπ της μάνας του, και μου κάνει:
- Γιάννη, συμφορά!
- Έλα τι έγινε, κάηκε τίποτα?
- Όχι, μας πιάσανε...
- Τι?
- Μου λέει εδώ ότι η αστυνομία... κλπ κλπ... Έχουν το ip adress μου Γιάννη! Τι κάνω?
- :καταλαβαίνει τι παίζει και γυρίζει σε troll mode: Dude, ψυχραιμία. 1ον. Πάρε τηλέφωνο τον δικηγόρο σου, μην πληρώσεις αυτό που σου λέει, ακόμα και αν πληρώσεις μπορούν να σε συλλάβουν...
- Αμάν.
- 2ον, πήγαινε αμέσως στην αστυνομία και παραδώσου..!
- ...
- Και 3ον, θυμάσαι τις ταινίες, τα τραγούδια και τα anime που σου πέρασα?
- Ναι
- Δε σε ξέρω, δε με ξέρεις... :hangs:

LOL, μετά του είπε ότι του έκανε πλάκα και πήγε και του το έφτιαξε αμέσως, άλλα αυτός είχε ψαρώσει τόσο άγρια...

Πόσο τρολιά, θέλω να το κάνω και εγώ...

much lol would NOT read again

moody wrote:much lol would NOT read again

Did I waste moody's precious time? ¯\_(ツ)_/¯

Monsieur modie's **