*
 
AfterDawn.com Keskustelualueet

Rahankiristys virus, virustorjunnat ei pelaa.

Tässä viestiketjussa on 20 viestiä.

#1
Elikkäs tuli tuo rahankirisys virus jossa selaimen aukaisemisen yhteydessä tulee näkyviin, että Poliisi on laittanut muka koneen lukkoon ja aukaiseminen maksaa 100e, Virustorjunta ei pelaa, en saa asennettua hijackthissiä, eikä ohjauspaneliin pääse :(

Apu on todellakin tarpeen.
▼▼ Tässä viestiketjussa on 19 vastausta - vastaukset ovat mainoksen alapuolella ▼▼
AfterDawn Ilmoitus
#2
edit:

http://www.cert.fi/tietoturvanyt/2012/06/ttn201206261320.html

"Kiristyshaittaohjelmasta liikkeellä eri versioita
Poliisin nimissä rahaa vaativasta kiristyshaittaohjelmasta on liikkeellä uusia versioita. Näiden versioiden poistaminen koneelta ei onnistu CERT-FI:n ohjeen 1/2012 mukaisesti."
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 19.11.2012 @ 07:16
#3
Hmm, sain asennettue malwarebytesin ja se löysi 2 trojalaista. Sain poistettua ne ja nyt näyttäis toimivan normaalisti. Virustorjunnat lähtee päälle ja tehtävienhallintaan pääsee.
Käynnistysen yhteydessä tulee kuitenki kaksi error-viestiä, jossa ilmoitetaan että se ja se ei lähtenyt päälle, koska tiedostoja ei löytynyt. Eli viruksesta jäi sen verran koneeseen, että se yrittää avata ne kun käynnistää?
#4
Windowsin rekisteriin jäi vielä vanhentuneet käynnistysmerkinnät noista poistetuista haittaohjelmien tiedostoista. Aika normaalia josta ei kannata hirveästi huolestua. Voit ensiavuksi kokeilla CCleanerilla puhdistaa rekisterin, se on ainakin omissa silmissäni osoittautunut luotettavaksi putsaustyökaluksi joka ei liikoja poistele rampauttaen samalla koko järjestelmän kuten joillakin ohjelmilla on tapana.

Lisäksi suosittelen käväisemaan virustorjunta.netissä ja laittamaan sinne OTL-login tutkittavaksi, näin saat ainakin varmistuksen koneen puhtaudesta. Täällä Afterdawnin puolella ei ole enää fiksaajia näkynyt pitkiin aikoihin.

GA B85M D3H | E3-1230V3 | True Spirit 120 M BW Rev.A | Asus R9 270X DCII TOP | SF-600P14XE-PRO | 8GB RAM | PNY 120GB SSD | WDC WD10EZEX | Fractal Define Mini | Win7 64bit Pro |
#5
Lainaus, alkuperäisen viestin kirjoitti 79atanos:
Windowsin rekisteriin jäi vielä vanhentuneet käynnistysmerkinnät noista poistetuista haittaohjelmien tiedostoista. Aika normaalia josta ei kannata hirveästi huolestua. Voit ensiavuksi kokeilla CCleanerilla puhdistaa rekisterin, se on ainakin omissa silmissäni osoittautunut luotettavaksi putsaustyökaluksi joka ei liikoja poistele rampauttaen samalla koko järjestelmän kuten joillakin ohjelmilla on tapana.

Lisäksi suosittelen käväisemaan virustorjunta.netissä ja laittamaan sinne OTL-login tutkittavaksi, näin saat ainakin varmistuksen koneen puhtaudesta. Täällä Afterdawnin puolella ei ole enää fiksaajia näkynyt pitkiin aikoihin.
Kiitos :)
#6
Mulle tuli sama ongelma ja ohjeiden mukaan etenin (vikasietotilassa koska en onnistunut muuten avaamaan komentoikkunaa). Komentoikkunassakin pääsin käyttäjäkohtaiseen kansioon, mutta sitten en pääse siihen kansioon, jossa on automaattisesti käynnistyvät ohjelmat. Tulee vain teksti "Määritettyä polkua ei löydy."

Osaako joku neuvoa?
#7
Lainaus, alkuperäisen viestin kirjoitti jusssi:
Mulle tuli sama ongelma ja ohjeiden mukaan etenin (vikasietotilassa koska en onnistunut muuten avaamaan komentoikkunaa). Komentoikkunassakin pääsin käyttäjäkohtaiseen kansioon, mutta sitten en pääse siihen kansioon, jossa on automaattisesti käynnistyvät ohjelmat. Tulee vain teksti "Määritettyä polkua ei löydy."

Osaako joku neuvoa?
Olisit kyllä voinu kertoa käyttöjärjestelmäsi,mutta villi veikkaus et vista tai windows 7 ja miksi et pääse sinne kansioon niin syy on varmaankin se että sun käytöjärjestelmän kieli on Suomi ja yrität sillä
cd "AppData\Roaming\Microsoft\Windows\Käynnistä-valikko\Ohjelmat\Käynnistys"
komennolla,mut yritäppä tällä:
cd "AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
#8
- jos tiedostoa ei löydy, niin tulee ilmoitus: Tiedostoa (kansion nimi) *.exe.lnk ei löydy. Tämä on tullut kokoajan. Missähän se tiedosto luuraa, koska tuolla kansiossa sitä ei ole näkynyt. Jos joku osaisi auttaa, olisin enemmän kuin kiitollinen!
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 24.4.2012 @ 12:23
#9
Lainaus, alkuperäisen viestin kirjoitti midvecke1:
- jos tiedostoa ei löydy, niin tulee ilmoitus: Tiedostoa (kansion nimi) *.exe.lnk ei löydy. Tämä on tullut kokoajan. Missähän se tiedosto luuraa, koska tuolla kansiossa sitä ei ole näkynyt. Jos joku osaisi auttaa, olisin enemmän kuin kiitollinen!
Osaako joku auttaa?!
#10
Jos olet komentoikkunassa oikeassa kansiossa (Startup tai Käynnistys) ja komennolla del *.exe.lnk tulee virheilmoitus, esim. Windows 7:ssa:

Tiedostoa C:\Users\KäyttäjäNimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe.lnk ei löydy.

Niin silloin kyseisessä kansiossa ei ole haittaohjelmaan osoittavaa linkkiä, esim. tiedostoa haittaohjelma.exe.lnk

Ja tällöin CERT-FI:n ohjeilla et saa konettasi toimimaan.
#11
Lainaus, alkuperäisen viestin kirjoitti Genetti:
Jos olet komentoikkunassa oikeassa kansiossa (Startup tai Käynnistys) ja komennolla del *.exe.lnk tulee virheilmoitus, esim. Windows 7:ssa:

Tiedostoa C:\Users\KäyttäjäNimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe.lnk ei löydy.

Niin silloin kyseisessä kansiossa ei ole haittaohjelmaan osoittavaa linkkiä, esim. tiedostoa haittaohjelma.exe.lnk

Ja tällöin CERT-FI:n ohjeilla et saa konettasi toimimaan.
Mitenkäs sen sitten saa toimimaan? Mistä löytyy se oikea tiedosto?
#12
Tiedosto löytyy myös msconfigin kautta (windows näppäin+R -> ikkuna hyppää johon kirjoita msconfig), mistä pääsee säätämään käynnistyviä ohjelmia. Msconfigin käynnistyttyä ohjelmat kohta ja sieltä ainakin uusin on "ctfmon" niminen käynnistyvä prosessi ja tiedoston nimi on jotain "0_0" tapaan. Tiedoston nimi vaihtuu viruksen päivittyessä ja löytyy msconfig säätäessä usein julkaisijana/valmistajana "Tuntematon". Tiedosto tulee poistaa vikasietotilassa kuten aikasemmin on jo käynyt ilmi ja se löytyy juurikin tuolta profiilikansion käynnistyskansiosta. Jos sieltä ei löydy niin tarkistakaa temp kansio, mikä löytyy c:\users\<KAYTTAJANIMI>\appdata\local\temp. Piilotetut kansiot tulee olla näkyvissä mikä hoituu painamalla missä vain kansion kohdalla ALT-nappia, jolloin tulee lisä työkalurivi -> työkalut -> kansion asetukset -> näytä piilotetut kansiot. Kun tiedosto on poistettu ja tiedosto on otettu pois käynnistymisvalikosta msconfigista kannattaa vielä ajaa SpyBot ja Malwarebytes ohjelma ja virusturva uusin päivityksin ja varmistua haitan poistuneen.

Toivottavasti tämä auttaa jos tuosta aikaisemmasta ei ole tajunnut, tuo on kyllä todellakin toimiva tapa poistaa, mutta hieman hankalampi peruskäyttäjälle.
#13
Lainaus, alkuperäisen viestin kirjoitti MrToil:
Tiedosto löytyy myös msconfigin kautta (windows näppäin+R -> ikkuna hyppää johon kirjoita msconfig), mistä pääsee säätämään käynnistyviä ohjelmia. Msconfigin käynnistyttyä ohjelmat kohta ja sieltä ainakin uusin on "ctfmon" niminen käynnistyvä prosessi ja tiedoston nimi on jotain "0_0" tapaan. Tiedoston nimi vaihtuu viruksen päivittyessä ja löytyy msconfig säätäessä usein julkaisijana/valmistajana "Tuntematon". Tiedosto tulee poistaa vikasietotilassa kuten aikasemmin on jo käynyt ilmi ja se löytyy juurikin tuolta profiilikansion käynnistyskansiosta. Jos sieltä ei löydy niin tarkistakaa temp kansio, mikä löytyy c:\users\<KAYTTAJANIMI>\appdata\local\temp. Piilotetut kansiot tulee olla näkyvissä mikä hoituu painamalla missä vain kansion kohdalla ALT-nappia, jolloin tulee lisä työkalurivi -> työkalut -> kansion asetukset -> näytä piilotetut kansiot. Kun tiedosto on poistettu ja tiedosto on otettu pois käynnistymisvalikosta msconfigista kannattaa vielä ajaa SpyBot ja Malwarebytes ohjelma ja virusturva uusin päivityksin ja varmistua haitan poistuneen.

Toivottavasti tämä auttaa jos tuosta aikaisemmasta ei ole tajunnut, tuo on kyllä todellakin toimiva tapa poistaa, mutta hieman hankalampi peruskäyttäjälle.
Tiedostoa C:\Users\KäyttäjäNimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe.lnk ei löydy.

Tuo tulee minullekin. msconfigiin en pääse, koska ei kerkeä windowsissa käyttämään "windows -nappi + R" kun haittaohjelma käynnistyy jo päälle.

Temp kansiostakaan ei löytyny, eli ei pystynyt poistamaan kyseistä haittaohjelmaa.

Kuinka edetä?
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.7.2012 @ 20:55
#14
Lainaus, alkuperäisen viestin kirjoitti MrToil:
Tiedosto löytyy myös msconfigin kautta (windows näppäin+R -> ikkuna hyppää johon kirjoita msconfig), mistä pääsee säätämään käynnistyviä ohjelmia. Msconfigin käynnistyttyä ohjelmat kohta ja sieltä ainakin uusin on "ctfmon" niminen käynnistyvä prosessi ja tiedoston nimi on jotain "0_0" tapaan. Tiedoston nimi vaihtuu viruksen päivittyessä ja löytyy msconfig säätäessä usein julkaisijana/valmistajana "Tuntematon". Tiedosto tulee poistaa vikasietotilassa kuten aikasemmin on jo käynyt ilmi ja se löytyy juurikin tuolta profiilikansion käynnistyskansiosta.
Tämä viesti vaatii tarkennusta. "ctfmon" on Windows XP:ssä ainakin MS Officen yhteydessä pyörivä prosessi eikä silloin mikään virus. Oikea tiedosto sijaitsee osoitteesa C:\WINDOWS\system32\ctfmon.exe. Vain silloin, jos sama tiedosto löytyy muusta osoitteesta, kuten edellisessä esimerkissä, kyseessä on virus.

Ei siis pidä heti säikähtää, jos prosessiluettolossa näkyy ctfmon.exe ja rynnätä sitä poistamaan. Useimmissa tapauksissa kyseessä on aivan normaali Windows-ympäristöön kuuluva prosessi. Mutta kuten tunnettua, haitakkeet voivat esiintyä tutuilla nimillä väärissä sijainneissa.
#15
Itse huomasin, että "POLIISI" ikkuna ei tule jos internet johdon ottaa irti. Tämän jälkeen tein system restoren 2 päivää taaksepäin ja nyt kone tuntuu toimivan.
Mitä mieltä olette lähtikö virus tällä tavalla?
#16
Miten ton system restoren sitten pääsee tekemään? Jos otan nettipiuhan irti koneella näkyy pelkästään valkoinen ruutu enkä voi tehdä yhtään mitään?

Ihan sama vaikka sinne joku virus jäis, jos nyt joku keino olis millä sais muutaman tiedoston tuolta koneelta pelastettua. Ei tosiaan noi cert-fi:n ohjeet auttanu ja pariin tietokonehuoltoliikkeeseen soitin eikä kummastakaan saanut varmuutta että saisivat kyseisen paskan poistettua....
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 18.7.2012 @ 11:58
#17
Lainaus, alkuperäisen viestin kirjoitti BTL1:
Miten ton system restoren sitten pääsee tekemään? Jos otan nettipiuhan irti koneella näkyy pelkästään valkoinen ruutu enkä voi tehdä yhtään mitään?

Ihan sama vaikka sinne joku virus jäis, jos nyt joku keino olis millä sais muutaman tiedoston tuolta koneelta pelastettua. Ei tosiaan noi cert-fi:n ohjeet auttanu ja pariin tietokonehuoltoliikkeeseen soitin eikä kummastakaan saanut varmuutta että saisivat kyseisen paskan poistettua....
Moro,

Mä jouduin pähkäilemään kanssa, kun oli uusi versio ja ei auttanut nettipiuhan irrottamiset kun näyttö meni valkoseksi. pääsin tekemään sen palautuksen niin, että rämppäsin muutaman kerran konetta auki ja kiinni nopeaan tahtiin niin tuli käynnistyksen korjaus ja annoin sen ruksuttaa ja se ehdotti palautusta aikasempaan kohtaan. Sitten pääsin normaalisti windowsiin ja menin tuhoamaan internet explorer temp tiedostot, jotka liittyivät tähän virukseen.
#18
Nuo alkuperäiset ohjeet taitavat olla nyt vanhat. Mistähän löytyisi uudet? Otin mssomfigin
Lainaus, alkuperäisen viestin kirjoitti MrToil:
Tiedosto löytyy myös msconfigin kautta (windows näppäin+R -> ikkuna hyppää johon kirjoita msconfig), mistä pääsee säätämään käynnistyviä ohjelmia. Msconfigin käynnistyttyä ohjelmat kohta ja sieltä ainakin uusin on "ctfmon" niminen käynnistyvä prosessi ja tiedoston nimi on jotain "0_0" tapaan. Tiedoston nimi vaihtuu viruksen päivittyessä ja löytyy msconfig säätäessä usein julkaisijana/valmistajana "Tuntematon". Tiedosto tulee poistaa vikasietotilassa kuten aikasemmin on jo käynyt ilmi ja se löytyy juurikin tuolta profiilikansion käynnistyskansiosta. Jos sieltä ei löydy niin tarkistakaa temp kansio, mikä löytyy c:\users\<KAYTTAJANIMI>\appdata\local\temp. Piilotetut kansiot tulee olla näkyvissä mikä hoituu painamalla missä vain kansion kohdalla ALT-nappia, jolloin tulee lisä työkalurivi -> työkalut -> kansion asetukset -> näytä piilotetut kansiot. Kun tiedosto on poistettu ja tiedosto on otettu pois käynnistymisvalikosta msconfigista kannattaa vielä ajaa SpyBot ja Malwarebytes ohjelma ja virusturva uusin päivityksin ja varmistua haitan poistuneen.

Toivottavasti tämä auttaa jos tuosta aikaisemmasta ei ole tajunnut, tuo on kyllä todellakin toimiva tapa poistaa, mutta hieman hankalampi peruskäyttäjälle.
Kun otan tuon msconfin aikakaan minulla ei tule mitään epäilyttävää tuonne käynnistyviin. Myöskään noilla alkuperäisillä ohjeilla ei toiminut, kún ei löytänyt mitään tuosta sijainnista. Onkohan missään päivitettyjä ohjeita ongelman poistoon?
#19
Viruksesta on uusia versioita, joiden poistamiseen keväiset ohjeet eivät tehoa. Kannattaa kokeilla F-Securen Rescue CD:tä. Lataa sen ISO-kuva ja polta se CD:lle levykuvana. Boottaa kone sitten tältä CD:ltä.

http://www.cert.fi/tietoturvanyt/2012/0...ource=pulsenews

http://www.f-secure.com/en/web/labs_glo...rousel/view/142

Vastaisuudessa kannattaa sitten ottaa vakavammin varoitukset tuhmista sivuista.
#20
Moroo

Kiitos erittäin hyvästä ja kuvannollisesta ohjeesta haittaohjelman postamisesta!

Onnistuin lopulta yllä olevien ohjeiden mukaisesti poistamaan haittaohjelman. Nyt ongelmana on se, että koneeltani on "hävinnyt" Norton 360 ohjelma. Käynnistä valikosta haulla löytyy Norton, mutta kun yritän klikata mitä tahansa sen toimintoa niin tulee näkyviin: määrittämätön virhe.
Virustentoejuntaohjelma ei ole myöskään tietoturvakeskuksen nukaan käytössä. Kysessä on Windows 7 ja suomenkielinen.

Tv. CFC
Tämä viestiketju on suljettu, johtuen siitä, että ketjun uusimmasta viestistä on kulunut yli 180 vuorokautta. Käytännössä tämä tarkoittaa sitä, että et voi vastata tähän viestiketjuun lainkaan.

Mikäli sinulla on lisättävää tai kysyttävää tähän samaan aiheeseen liittyen, ole hyvä ja aloita aiheesta uusi viestiketju tämän sivun kautta.

Tilaa AfterDawnin viikoittainen uutiskirje.