The Broadcasters ’ Desktop Resource

Written by Paul Litwinovich Posted in IT Administration.

Lataa PDF

tietokoneiden pitäminen vapaana Internetin ikävistä asioista vaatii jatkuvaa valppautta, ehkä haittaohjelmien torjuntaohjelman avulla. Valvomossa henkilökunnan käyttämät tietokoneet ovat vielä haavoittuvampia, koska käyttäjät saattavat käyttää vähemmän huolellisuutta tällaisissa yleisesti jaetuissa tietokoneissa. Jos laitoksenne ”saa”, Paul Litwinovichilla on ratkaisu.:

hallitsen noin 70: tä tietokonetta täällä WSHU Public Radio Groupissa ja olen päässyt melko hyvin siivoamaan satunnaista virusta, joka yleensä lipsahtaa jonkun sähköpostiin.

viime viikkoina on havaittu Vundo-troijalaisen ja sen virusmuunnosten aiheuttamia uusia tietokoneviruksia. Tämä oli poikkeuksellisen rankka, joten jouduin tekemään aika paljon tutkimusta siitä. Ehkä nämä tiedot varoittavat sinua vaaroista-ja auttavat, jos löydät ne tietokoneeltasi.

troijalainen

tartunta voi tapahtua helposti: Vundo-troijalainen alkaa selaimesi ponnahdusikkunana, joka kertoo käyttäjälle, että tietokoneen virustorjuntaohjelma on päättymässä – tai on. Se pyytää sinua ” klikkaa tästä korjata ongelman.”Se voi tarjota ilmaisen latauksen” Internet Security 2010 ”tai jokin muu ohjelma” puhdistaa tietokoneen.”

varoitus: Jos sinä tai henkilökuntasi näette tämän ponnahdusikkunan, älkää antako kiusauksen klikata ”X” sulkiaksenne laatikon. Se on kaikki yksi jpeg ja jos napsautat sitä, se aloittaa latausprosessin. Joissakin versioissa voit napsauttaa hiiren oikealla painikkeella selaimesi kuvaketta näytön alareunassa olevassa alemmassa tehtäväpalkissa ja sulkea selaimen. Jos olet onnekas, tämä sulkee myös pop up.

jos ponnahdusikkuna jää tässä vaiheessa näytöllesi, ainoa ulospääsy on tallentaa kaikki avoimet tiedostot (dokumentit jne., että olit työskennellyt) ja sitten kaataa tietokoneen pitämällä virtakytkin, kunnes se sammuu. Saatat joutua käymään läpi levyn tarkistus, kun käynnistät, mutta se voittaa vaihtoehto.

Varoitus: Normaalin, puhtaan sammutuksen tekeminen antaa sille mahdollisuuden kirjoittaa itsensä kiintolevylle.

mitä Vundo tekee

vundon troijalaisista on monia muunnelmia, jotka vaihtelevat ”suhteellisen” hyväntahtoisista erittäin tuhoisiin. Useimmat käyttävät ulkonäkö jonkinlainen pop-up mainonta ja sitten juurruttaa itse, jotta ne vaikea poistaa.

jos napsautat ponnahdusikkunaa, se hämää joitakin virustorjuntaohjelmia esiintymällä tahallisena latauksena.

sitten, kun virus on ladannut itsensä, se yrittää sammuttaa oikean virustorjuntaohjelmasi ja korvata sen kuvake ilmoitusalueellasi väärällä virustorjuntaohjelmalla. Se voi muokata suojausasetuksiasi näyttääkseen varoituksen siitä, että virustorjuntaohjelmasi on päivitettävä, ja kun napsautat varoitusta, se vie sinut tekaistulle verkkosivustolle ja yrittää myydä sinulle lisää väärennettyjä ohjelmistoja tai ainakin saada luottokorttisi numeron. Väärennetty virustorjuntaohjelma voi esiintyä useilla nimillä.

virus sammuttaa usein automaattiset päivitykset ja luo tiedoston, joka estää käynnistymisen vikasietotilassa. Se usein kirjoittaa suojata kopio itsestään selaimen välimuisti, jota ei voi poistaa. Jos virus havaitsee, että yrität poistaa sen, se voi luoda kymmeniä kopioita itsestään esiintyvät outo nimetty dll tiedostoja system32 hakemistoon. Lisätietoja siitä, miten Vundo toimii, on saatavilla useimmilla virustorjuntasivustoilla.

yksi kohta, joka löytyy lähes kaikista vundon verkkokuvauksista, on se, että se sinkoaa portit leveiksi päästääkseen muut troijalaiset sisään, Joten mitä kauemmin tietokoneesi on hoitamattomana, sitä enemmän viruksia joudut käsittelemään. Onneksi, nämä puhdistaa helposti, kun skannaat aseman jälkeen tehdä muutoksia poistaa Vundo.

lisäksi se voi jopa ”kutsua” muita viruksia tulemaan asumaan: saat usein pop up-mainoksia muille verkkosivustoille, tuotteisiin ja pornoon, valheellisen virustorjuntaohjelman mainosten lisäksi.

analyysi

avain on se, miten se tallentaa kopion itsestään piilotettuun System volume information-kansioon (jota käytetään palautuspisteiden tallentamiseen), kirjoitussuojattu kaikilla paitsi järjestelmän Pääsy evätty – joten todellinen antivirus (jos vielä toimiva) tai online skannaa kuten Trend Housecall ei voi aina poistaa sitä. Se on myös erittäin hyvä estämään poistotyökaluja lastaamisesta ja suorittamisesta.

itse asiassa AVG, Trend ja Norton olisivat kaikki havainneet sen ja luulleet poistavansa sen, mutta sinne se jäi. Huomasin tämän, kun yritin skannata vain SVI-kansion ja löytänyt mitään muutosta sen koon jälkeen anti-virus raportoitu puhdistus virus. Sitten huomasin, että virustiedostot olivat aika lailla lukittuina.

miten Vundosta voi toipua

on hyvin vaikeaa – itse asiassa lähes mahdotonta – päästä eroon tästä viruksesta tartunnan saaneesta koneesta itsestään.

ainoa varma tapa puhdistaa tämä virus on käyttää yhtä niistä adaptereista, joiden avulla voit kytkeä kiintolevyn USB-porttiin, kuten Olevia ada-2020 tai vastaava.

näin puhdistat tietokoneesi:

  1. poista saastunut asema koneestaan.
  2. liitä se USB-sovittimeen, joka on kytketty koneeseen, jossa on ajantasainen virustorjuntaohjelma.
  3. Peruuta ärsyttävä autoplay-ohjelma, jonka Windows avaa nähdessään aseman.
  4. Avaa asema Windowsin sisällä. (Älä huoli: tämän tyyppinen virus ei voi tartuttaa toista tietokonetta tämän tehdessä, se voi toimia vain C: – asemalta)
  5. kun asema on auki ja näet sen sisällön, Resurssienhallinnan työkalupalkista auki: työkalut / Kansioasetukset / Näytä ja tarkista ”Näytä piilotetut tiedostot,” poista sitten ”Piilota suojatut käyttöjärjestelmätiedostot.”
  6. näet nyt System volume information-kansion. Napsauta sitä hiiren kakkospainikkeella ja valitse Ominaisuudet poista ”vain luku.”Kun vielä Ominaisuudet, Siirry Turvallisuus välilehti ja lisätä nykyisen käyttäjän tai järjestelmänvalvojan ottaa ”täysi hallinta” (oletusjärjestelmän käyttäjä ei riitä). Varmista, että käytät tätä asetusta alikansioihin (eli jos kirjaudut sisään nimellä ”Joe”, lisää ”Joe” sallituille käyttäjille asemaan, jota korjaat).
  7. Sulje ominaisuudet-ruutu ja napsauta nyt kansiota nähdäksesi, aukeaako se ja näet tiedostot.
  8. Sulje Resurssienhallinta.
  9. Napsauta tietokonettani, napsauta hiiren kakkospainikkeella saastunutta asemaa ja valitse ”Skannaa (whatever) antivirus”, jota käytät. Varmista, että kerrot ohjelman poistaa kaikki havaitut uhat. (Jos käytät AVG Free, varmista, että olet jopa versio 9, koska 8.5 ei poista kaikkia näitä viruksia.)
  10. kun asema on puhdas, laita se takaisin alkuperäiseen koneeseensa.
  11. kun se alkaa, voit saada viestin, että se ei löydä tätä tai tätä tiedostoa tai .dll jne. Tämä ei viittaa siihen, että kone olisi vielä saanut tartunnan. Rekisteri etsii viruksen luomia tiedostoja, jotka on nyt poistettu. Huomaa, mitä tiedostot ovat, ja etsi niitä kutsuvat rivit regeditin avulla ja poista nämä rekisterimerkinnät.

jos kaikki menee hyvin, pitäisi nyt pystyä käynnistämään kone uudelleen ja saada puhdas boot. Automaattiset päivitykset voi joutua laittamaan takaisin päälle, mutta muuten en ole löytänyt pysyviä vaurioita.

muutettuani ominaisuusasetuksia kuvatulla tavalla sain puhdistettua koko levyn kerralla. Olen sittemmin käyttänyt tätä menetelmää tartunnan puhdistamiseen useista muista tietokoneista, joten minulla on korkea luottamus menetelmään.

toivon, että tämä auttaa sinua, jos huomaat olevasi tämän ärsyttävän uhan edessä.

Leave a Reply

Sähköpostiosoitettasi ei julkaista.