Broadcasters’ Desktop Resource
skrevet af Paul Litvinovich Posted in it Administration.
Hent PDF
at holde computere fri for nogle af de grimme ting på internettet kræver konstant årvågenhed, måske med et anti-ondsindet program. Computere, der bruges af personalet i kontrolrummet, er endnu mere sårbare, da brugerne muligvis bruger mindre omhu, når de er på sådanne almindeligt delte computere. Hvis din facilitet bliver “got”, har Paul Litvinovich løsningen:
jeg administrerer omkring 70 computere her i den offentlige radiogruppe og er blevet ganske god til at rydde op i den lejlighedsvise virus, der normalt glider forbi i nogens e-mail.
i de seneste uger har der været udslæt af nye computerinfektioner forårsaget af Vundo Trojan og dens virale varianter. Dette var en usædvanlig hård en, så jeg var nødt til at gøre en hel del forskning på det. Måske vil disse oplysninger advare dig om farerne-og hjælpe, hvis du finder dem på din computer.
infektion med Trojan
infektionen kan forekomme let: Vundo Trojan starter som en pop op i din internetsøgemaskine, der fortæller brugeren, at computerens antivirusprogram er ved at udløbe – eller har. Det beder dig om at “Klik her for at løse problemet.”Det kan tilbyde en gratis overførsel af” Internet Security 2010 “eller et andet program til” rense din computer.”
advarsel: hvis du eller dine medarbejdere ser denne pop up, skal du ikke fristes til at klikke på” H ” for at lukke boksen. Det er alle en jpeg, og hvis du klikker et vilkårligt sted på det, vil det begynde overførslen. På nogle varianter kan du højreklikke på ikonet for din bro.ser i den nederste proceslinje nederst på skærmen og lukke bro. ser. Hvis du er heldig, lukker dette også pop op.
Hvis pop op-vinduet forbliver på din skærm på dette tidspunkt, er den eneste vej ud at gemme åbne filer (dokumenter osv., at du arbejdede på) og derefter gå ned computeren ved at holde afbryderen nede, indtil den lukker ned. Du skal muligvis gennemgå en diskkontrol, når du genstarter, men det slår alternativet.
advarsel: Gør en normal, ren nedlukning vil give det en chance for at skrive sig selv til din harddisk.
hvad Vundo gør
der er mange variationer af Vundo-trojanerne, der spænder fra det “relativt” godartede til det meget destruktive. De fleste bruger udseendet af en slags pop-up-reklame og derefter rod selv for at gøre dem vanskelige at slette.
hvis du klikker på pop op, vil det narre nogle antivirusprogrammer ved at fremstå som en forsætlig overførsel.
så, når virus har indlæst sig selv, det vil forsøge at lukke din rigtige anti-virus program og erstatte dens ikon i systembakken med en for en falsk anti-virus program. Det kan ændre dine sikkerhedsindstillinger for at vise en advarsel om, at dit antivirusprogram skal opdateres, og når du klikker på advarslen, fører det dig til en falsk hjemmeside og forsøger at sælge dig mere falske programmer eller i det mindste få dit kreditkortnummer. Det falske antivirusprogram kan vises under et antal navne.
virussen slukker ofte automatiske opdateringer og opretter en fil, der forhindrer dig i at starte i sikker tilstand. Det vil ofte skrive beskytte en kopi af sig selv i cachen, som ikke kan fjernes. Hvis virus registrerer, at du forsøger at fjerne det, kan det skabe snesevis af kopier af sig selv optræder som underligt navngivne DLL-filer i System32 mappe. Flere detaljer om, hvordan Vundo værker er tilgængelige på de fleste anti-virus hjemmesider.
et punkt, der kan findes på næsten alle internetbeskrivelser af Vundo, er, at det kaster brede porte for at lade andre trojanere komme ind, så jo længere din computer er ubehandlet, jo flere vira bliver du nødt til at håndtere. Heldigvis vil disse rydde op let, når du scanner drevet efter at have foretaget ændringerne for at fjerne Vundo.
Derudover kan det endda “invitere” andre vira til at komme og tage Ophold: du får ofte pop-up-annoncer til andre hjemmesider, produkter og porno ud over annoncer til det falske antivirusprogram.
analyse
nøglen er den måde, den gemmer en kopi af sig selv i den skjulte systemvolumeninformationsmappe (som bruges til at gemme gendannelsespunkter), skrivebeskyttet med alt undtagen systemadgang nægtet-så din rigtige antivirus (hvis den stadig er funktionel) eller online scanninger som Trend Housecall kan ikke altid fjerne den. Det er også meget god til at forhindre fjernelse værktøjer fra lastning og udførelse.
faktisk ville AVG, Trend og Norton alle opdage det og tro, at de fjernede det, men der forblev det. Jeg opdagede dette, da jeg forsøgte at scanne kun SVI mappe og fandt ingen ændring i dens størrelse efter anti-virus rapporteret rengøring af virus. Derefter fandt jeg ud af, at virusfilerne stort set var låst ned.
Sådan gendannes fra Vundo
det er meget svært – faktisk næsten umuligt – at slippe af med denne virus fra selve den inficerede maskine.
den eneste sikre måde at rydde op på denne infektion er at bruge en af de adaptere, der giver dig mulighed for at tilslutte en harddisk til en USB-port som Olevia ADA-2020 eller lignende.
Sådan rydder du op på din computer:
- fjern det inficerede drev fra sin maskine.
- tilslut den til USB-adapteren, der er tilsluttet en maskine med et opdateret antivirusprogram.
- Annuller det irriterende autoplay-program, som vinduer åbnes, når det ser drevet.
- Åbn drevet i vinduer. (Bare rolig: denne type virus kan ikke inficere den anden computer, mens du gør dette, den kan kun fungere fra C: drevet)
- når drevet er åbent, og du kan se dets indhold, fra opdagelsesværktøjslinjen åben: Værktøjer / Mappeindstillinger / se og marker “Vis skjulte filer”, fjern derefter markeringen “Skjul beskyttede operativsystemfiler.”
- du vil nu se mappen System volume information. Højreklik på det og fjern markeringen under egenskaber ” read only.”Mens du stadig er i egenskaber, skal du gå til fanen Sikkerhed og tilføje den aktuelle bruger eller administrator som” fuld kontrol ” (standardsystembrugeren er ikke nok). Sørg for at anvende denne indstilling på undermapper (dvs.hvis du logger ind som “Joe”, skal du tilføje “Joe” til de tilladte brugere for det drev, du reparerer).
- Luk egenskabsfeltet, og klik nu på mappen for at se, om den åbnes, og du kan se filerne.
- Luk vinduer Stifinder.
- Klik på denne computer, højreklik derefter på det inficerede drev, og vælg “scan med (uanset) antivirus”, du bruger. Sørg for at fortælle programmet at fjerne alle registrerede trusler. (Hvis du bruger AVG Free, skal du sørge for, at du er op til version 9, da 8.5 ikke fjerner alle disse vira.)
- når drevet er rent, skal du sætte det tilbage i sin originale maskine.
- når den starter, får du muligvis beskeden om, at den ikke kan finde denne eller den pågældende fil eller .dll osv. Dette er ikke en indikation af, at maskinen stadig er inficeret. Registreringsdatabasen leder efter filer oprettet af den virus, der nu fjernes. Bemærk, hvad filerne er, og brug derefter regedit til at finde de linjer, der kræver dem, og slet disse poster i registreringsdatabasen.
hvis alt går godt, skal du nu kunne genstarte maskinen og få en ren opstart. Du skal muligvis tænde automatiske opdateringer igen, men ellers har jeg ikke fundet nogen permanent skade.
efter at have ændret egenskabsindstillingerne som beskrevet, kunne jeg rense hele disken i et skud. Jeg har siden brugt denne metode til at rense infektionen fra flere andre computere, så jeg har en høj grad af tillid til metoden.
jeg håber, at dette hjælper dig, hvis du finder dig selv overfor denne irriterende trussel.