Die Broadcasters Desktop Resource

Geschrieben von Paul Litwinovich Veröffentlicht in IT Administration.

Download PDF

Computer frei von einigen der fiesen Sachen im Internet zu halten, erfordert ständige Wachsamkeit, vielleicht mit einem Anti-Malware-Programm. Computer, die vom Personal im Kontrollraum verwendet werden, sind noch anfälliger, da Benutzer auf solchen gemeinsam genutzten Computern möglicherweise weniger Sorgfalt walten lassen. Wenn Ihre Einrichtung „got“ wird, hat Paul Litwinovich die Lösung:

Ich verwalte ungefähr 70 Computer hier bei der WSHU Public Radio Group und bin ziemlich gut darin geworden, den gelegentlichen Virus zu bereinigen, der normalerweise in jemandes E-Mail vorbeigeht.

In den letzten Wochen gab es einen Ausschlag neuer Computerinfektionen, die durch den Vundo-Trojaner und seine viralen Varianten verursacht wurden. Das war außergewöhnlich schwierig, also musste ich ziemlich viel darüber recherchieren. Vielleicht machen Sie diese Informationen auf die Gefahren aufmerksam – und helfen, wenn Sie sie auf Ihrem Computer finden.

Infektion durch Trojaner

Die Infektion kann leicht auftreten: der Vundo-Trojaner beginnt als Popup in Ihrem Webbrowser und teilt dem Benutzer mit, dass das Antivirenprogramm des Computers abläuft – oder abläuft. Sie werden aufgefordert, „Klicken Sie hier, um das Problem zu beheben. Es kann einen kostenlosen Download von „Internet Security 2010“ oder einem anderen Programm anbieten, um „Ihren Computer zu reinigen.“

WARNUNG: Wenn Sie oder Ihre Mitarbeiter dieses Popup sehen, sollten Sie nicht versucht sein, auf das „X“ zu klicken, um das Feld zu schließen. Es ist alles ein JPEG und wenn Sie irgendwo darauf klicken, wird der Download-Vorgang gestartet. Bei einigen Varianten können Sie mit der rechten Maustaste auf das Symbol für Ihren Browser in der unteren Taskleiste am unteren Bildschirmrand klicken und den Browser schließen. Wenn Sie Glück haben, wird dadurch auch das Popup geschlossen.

Wenn das Popup zu diesem Zeitpunkt auf Ihrem Bildschirm verbleibt, besteht der einzige Ausweg darin, geöffnete Dateien (Dokumente usw.) zu speichern., an dem Sie gearbeitet haben) und dann den Computer zum Absturz bringen, indem Sie den Netzschalter gedrückt halten, bis er heruntergefahren wird. Möglicherweise müssen Sie beim Neustart eine Festplattenprüfung durchführen, aber es schlägt die Alternative.

Warnung: Wenn Sie ein normales, sauberes Herunterfahren durchführen, können Sie sich selbst auf Ihre Festplatte schreiben.

Was Vundo macht

Es gibt viele Variationen der Vundo-Trojaner, die von „relativ“ gutartig bis sehr destruktiv reichen. Die meisten verwenden das Erscheinungsbild einer Art Popup-Werbung und rooten sich dann selbst, um das Löschen zu erschweren.

Wenn Sie auf das Popup klicken, werden einige Antivirenprogramme getäuscht, indem sie als absichtlicher Download angezeigt werden.

Sobald der Virus sich selbst geladen hat, wird er versuchen, Ihr echtes Antivirenprogramm abzuschalten und sein Symbol in Ihrer Taskleiste durch eines für ein gefälschtes Antivirenprogramm zu ersetzen. Es kann Ihre Sicherheitseinstellungen ändern, um eine Warnung anzuzeigen, dass Ihr Antivirenprogramm aktualisiert werden muss, und wenn Sie auf die Warnung klicken, gelangen Sie zu einer gefälschten Website und versuchen, Ihnen mehr gefälschte Software zu verkaufen oder zumindest Ihre Kreditkartennummer zu erhalten. Das gefälschte Antivirenprogramm kann unter einer Reihe von Namen angezeigt werden.

Der Virus schaltet häufig automatische Updates aus und erstellt eine Datei, die verhindert, dass Sie im abgesicherten Modus starten. Es wird oft eine Kopie von sich selbst in den Browser-Cache schreiben, die nicht entfernt werden kann. Wenn der Virus feststellt, dass Sie versuchen, ihn zu entfernen, kann er Dutzende von Kopien von sich selbst erstellen, die als seltsam benannte DLL-Dateien im System32-Verzeichnis angezeigt werden. Weitere Informationen zur Funktionsweise von Vundo finden Sie auf den meisten Antiviren-Websites.

Ein Punkt, der in fast allen Webbeschreibungen von Vundo zu finden ist, ist, dass es die Tore weit öffnet, um andere Trojaner hereinzulassen. Glücklicherweise werden diese leicht bereinigt, wenn Sie das Laufwerk scannen, nachdem Sie die Änderungen vorgenommen haben, um Vundo zu entfernen.

Darüber hinaus kann es sogar andere Viren „einladen“, sich niederzulassen: Sie erhalten häufig Popup-Anzeigen für andere Websites, Produkte und Pornos sowie Anzeigen für das gefälschte Antivirenprogramm.

Analyse

Der Schlüssel ist die Art und Weise, wie eine Kopie von sich selbst im versteckten Ordner für Systemvolume-Informationen (der zum Speichern von Wiederherstellungspunkten verwendet wird) gespeichert wird. Es ist auch sehr gut zu verhindern, dass Entfernungstools geladen und ausgeführt werden.

Tatsächlich würden AVG, Trend und Norton es alle erkennen und denken, dass sie es entfernen würden, aber da blieb es. Ich habe dies entdeckt, als ich versuchte, nur den SVI-Ordner zu scannen, und keine Änderung seiner Größe festgestellt habe, nachdem das Antivirenprogramm die Bereinigung des Virus gemeldet hatte. Ich stellte dann fest, dass die Virendateien ziemlich gesperrt waren.

Wiederherstellen von Vundo

Es ist sehr schwierig – tatsächlich fast unmöglich –, diesen Virus vom infizierten Computer selbst zu entfernen.

Der einzig sichere Weg, diese Infektion zu beseitigen, ist die Verwendung eines Adapters, mit dem Sie eine Festplatte an einen USB-Anschluss anschließen können, z. B. den Olevia ADA-2020 oder ähnliches.

So bereinigen Sie Ihren Computer:

  1. Entfernen Sie das infizierte Laufwerk von seinem Computer.
  2. Schließen Sie es an den USB-Adapter an, der an ein Gerät mit einem aktuellen Antivirenprogramm angeschlossen ist.
  3. Brechen Sie das nervige Autoplay-Programm ab, das Windows öffnet, wenn es das Laufwerk sieht.
  4. Öffnen Sie das Laufwerk in Windows. (Keine Sorge: Diese Art von Virus kann den anderen Computer dabei nicht infizieren, er kann nur vom Laufwerk C: aus betrieben werden.)
  5. Sobald das Laufwerk geöffnet ist und Sie seinen Inhalt in der Explorer-Symbolleiste sehen können öffnen: extras / Ordneroptionen / Anzeigen und aktivieren Sie „Versteckte Dateien anzeigen“ und deaktivieren Sie dann „Geschützte Betriebssystemdateien ausblenden.“
  6. Sie sehen nun den Ordner System Volume information. Klicken Sie mit der rechten Maustaste darauf und deaktivieren Sie unter Eigenschaften „schreibgeschützt“.“ Wechseln Sie noch in den Eigenschaften zur Registerkarte Sicherheit und fügen Sie den aktuellen Benutzer oder Administrator als „Vollzugriff“ hinzu (der Standardsystembenutzer reicht nicht aus). Stellen Sie sicher, dass Sie diese Einstellung auf Unterordner anwenden (d. h. wenn Sie sich als „Joe“ anmelden, fügen Sie „Joe“ den zulässigen Benutzern für das Laufwerk hinzu, das Sie reparieren).
  7. Schließen Sie das Eigenschaftenfeld und klicken Sie nun auf den Ordner, um zu sehen, ob er geöffnet wird und Sie die Dateien sehen können.
  8. Schließen Sie den Windows Explorer.
  9. Klicken Sie auf Arbeitsplatz, dann mit der rechten Maustaste auf das infizierte Laufwerk und wählen Sie „Scannen mit (was auch immer) Antivirus“ Sie verwenden. Stellen Sie sicher, dass Sie das Programm anweisen, alle erkannten Bedrohungen zu entfernen. (Wenn Sie AVG Free verwenden, stellen Sie sicher, dass Sie auf Version 9 aktualisiert sind, da 8.5 nicht alle diese Viren entfernt.)
  10. Nachdem der Antrieb sauber ist, setzen Sie ihn zurück in seine ursprüngliche Maschine.
  11. Wenn es startet, erhalten Sie möglicherweise die Meldung, dass es diese oder jene Datei oder nicht finden kann .dll, etc. Dies ist kein Hinweis darauf, dass der Computer noch infiziert ist. Die Registrierung sucht nach Dateien, die vom Virus erstellt wurden und jetzt entfernt werden. Beachten Sie, was die Dateien sind, und verwenden Sie dann regedit, um die Zeilen zu finden, die sie aufrufen, und löschen Sie diese Registrierungseinträge.

Wenn alles gut geht, sollten Sie jetzt in der Lage sein, den Computer neu zu starten und einen sauberen Neustart zu erhalten. Möglicherweise müssen Sie die automatischen Updates wieder aktivieren, aber ansonsten habe ich keinen dauerhaften Schaden festgestellt.

Nachdem ich die Eigenschaftseinstellungen wie beschrieben geändert hatte, konnte ich die gesamte Disc auf einmal reinigen. Seitdem habe ich diese Methode verwendet, um die Infektion von mehreren anderen Computern zu entfernen, sodass ich ein hohes Maß an Vertrauen in die Methode habe.

Ich hoffe, das hilft Ihnen, wenn Sie sich dieser nervigen Bedrohung gegenübersehen.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht.