zasoby pulpitu nadawców
napisane przez Paul Litwinovich opublikowane w Administracja IT.
Pobierz PDF
utrzymywanie komputerów wolnych od niektórych paskudnych rzeczy w Internecie wymaga stałej czujności, być może za pomocą programu antywirusowego. Komputery używane przez personel w sterowni są jeszcze bardziej podatne na zagrożenia, ponieważ użytkownicy mogą mniej uważać na takich powszechnie udostępnionych komputerach. Jeśli Twoja placówka „ma”, Paweł Litwinowicz ma rozwiązanie:
zarządzam około 70 komputerami tutaj w grupie radia publicznego WSHU i jestem całkiem dobry w usuwaniu okazjonalnego wirusa, który zwykle pojawia się w czyimś e-mailu.
w ostatnich tygodniach doszło do wysypki nowych infekcji komputerowych spowodowanych przez trojana Vundo i jego wirusowe warianty. To było wyjątkowo trudne, więc musiałem zrobić sporo badań na ten temat. Być może te informacje ostrzegą Cię o zagrożeniach – i pomogą, jeśli znajdziesz je na swoim komputerze.
infekcja trojanem
infekcja może wystąpić łatwo: Trojan Vundo zaczyna się jako wyskakujące okienko w przeglądarce internetowej informujące użytkownika, że program antywirusowy komputera ma wygasnąć – lub ma. Prosi o ” Kliknij tutaj, aby rozwiązać problem.”Może oferować bezpłatne pobieranie” Internet Security 2010 „lub innego programu do” czyszczenia komputera.”
ostrzeżenie: jeśli ty lub twój personel zobaczy to wyskakujące okienko, nie daj się pokusić, aby kliknąć „X”, aby zamknąć okno. To wszystko jest jednym jpeg i jeśli klikniesz w dowolnym miejscu, rozpocznie się proces pobierania. W niektórych wariantach możesz kliknąć prawym przyciskiem myszy ikonę przeglądarki na dolnym pasku zadań u dołu ekranu i zamknąć przeglądarkę. Jeśli masz szczęście, spowoduje to również zamknięcie wyskakującego okienka.
jeśli wyskakujące okienko pozostaje w tym momencie na ekranie, jedynym wyjściem jest zapisanie otwartych plików (dokumentów itp., nad którym pracowałeś), a następnie zawiesić komputer, przytrzymując przełącznik zasilania, aż się wyłączy. Być może będziesz musiał przejść przez sprawdzanie dysku po ponownym uruchomieniu, ale to bije alternatywę.
Ostrzeżenie: Wykonanie normalnego, czystego wyłączenia da mu szansę na zapisanie się na dysku twardym.
co robi Vundo
istnieje wiele odmian trojanów Vundo, od „stosunkowo” łagodnych do bardzo destrukcyjnych. Większość wykorzystuje pojawienie się jakiegoś rodzaju reklamy pop-up, a następnie wykorzenić się, aby utrudnić ich usunięcie.
jeśli klikniesz na wyskakujące okienko, oszukasz niektóre programy antywirusowe, pojawiając się jako zamierzone pobieranie.
następnie, gdy wirus się załaduje, spróbuje wyłączyć prawdziwy program antywirusowy i zastąpić jego ikonę w zasobniku systemowym jedną dla fałszywego programu antywirusowego. Może zmodyfikować ustawienia zabezpieczeń, aby wyświetlić ostrzeżenie, że program antywirusowy musi zostać zaktualizowany, a po kliknięciu Ostrzeżenia przeniesie Cię do fałszywej strony internetowej i spróbuje sprzedać ci więcej fałszywego oprogramowania lub przynajmniej uzyskać numer karty kredytowej. Fałszywy program antywirusowy może pojawić się pod wieloma nazwami.
wirus często wyłącza automatyczne aktualizacje i tworzy plik, który uniemożliwia uruchomienie w trybie awaryjnym. To będzie często pisać chronić kopię siebie w pamięci podręcznej przeglądarki, które nie mogą być usunięte. Jeśli wirus wykryje, że próbujesz go usunąć, może utworzyć dziesiątki kopii siebie pojawiających się jako dziwne nazwane pliki dll w katalogu system32. Więcej szczegółów na temat działania Vundo można znaleźć na większości witryn antywirusowych.
jednym z punktów, które można znaleźć na prawie wszystkich opisach internetowych Vundo jest to, że rzuca szeroko bramy, aby wpuścić inne trojany, więc im dłużej Twój komputer jest nieleczony, tym więcej wirusów będziesz musiał sobie poradzić. Na szczęście zostaną one łatwo wyczyszczone podczas skanowania dysku po wprowadzeniu zmian w celu usunięcia Vundo.
dodatkowo może nawet „zaprosić” inne wirusy do zamieszkania: często otrzymasz wyskakujące reklamy innych stron internetowych, produktów i pornografii, oprócz reklam fałszywego programu antywirusowego.
Analiza
kluczem jest sposób, w jaki przechowuje swoją kopię w ukrytym folderze informacyjnym o woluminie systemowym (który jest używany do przechowywania punktów przywracania), chronionym przed zapisem ze wszystkimi, ale odmownym dostępem do systemu-więc twój prawdziwy program antywirusowy (jeśli nadal działa) lub skanowanie online, takie jak Trend Housecall, nie zawsze może go usunąć. Jest również bardzo dobry w zapobieganiu załadunku i wykonania narzędzi do usuwania.
w rzeczywistości AVG, Trend i Norton wykryliby go i pomyśleli, że go usuwają, ale pozostał. Odkryłem to, gdy próbowałem skanować tylko folder SVI i nie znalazłem żadnych zmian w jego rozmiarze po antywirusowym zgłoszeniu czyszczenia wirusa. Potem odkryłem, że pliki wirusów były prawie zablokowane.
Jak odzyskać Vundo
bardzo trudno – w rzeczywistości prawie niemożliwe – pozbyć się tego wirusa z samej zainfekowanej maszyny.
jedynym pewnym sposobem na usunięcie tej infekcji jest użycie jednego z tych adapterów, które umożliwiają podłączenie dysku twardego do portu USB, takiego jak Olevia ADA-2020 lub podobnego.
oto jak wyczyścić komputer:
- Usuń zainfekowany dysk z urządzenia.
- podłącz go do adaptera USB podłączonego do urządzenia z aktualnym programem antywirusowym.
- Anuluj irytujący program autoplay, który System Windows otwiera, gdy widzi dysk.
- Otwórz dysk w systemie Windows. (Nie martw się: ten typ wirusa nie może zainfekować drugiego komputera podczas robienia tego, może działać tylko z dysku C:)
- gdy dysk jest otwarty i możesz zobaczyć jego zawartość, z paska narzędzi Eksploratora otwórz: Narzędzia / Opcje folderów / zobacz i zaznacz „Pokaż ukryte pliki”, a następnie odznacz ” Ukryj chronione pliki systemu operacyjnego.”
- zobaczysz teraz folder z informacjami o woluminie systemowym. Kliknij go prawym przyciskiem myszy i odznacz właściwości ” tylko do odczytu.”Pozostając we właściwościach, przejdź do zakładki zabezpieczenia i dodaj bieżącego użytkownika lub administratora jako posiadającego „pełną kontrolę” (domyślny użytkownik systemowy to za mało). Upewnij się, że zastosowałeś to ustawienie do podfolderów (np. jeśli zalogujesz się jako „Joe”, dodaj „Joe” do dozwolonych użytkowników dysku, który naprawiasz).
- Zamknij okno Właściwości, a teraz kliknij folder, aby zobaczyć, czy się otworzy i możesz zobaczyć pliki.
- Zamknij Eksplorator Windows.
- kliknij mój komputer, a następnie kliknij prawym przyciskiem myszy zainfekowany dysk i wybierz „Skanuj za pomocą (niezależnie od tego) antywirusa”, którego używasz. Upewnij się, że program ma usunąć wszystkie wykryte zagrożenia. (Jeśli korzystasz z AVG Free, upewnij się, że masz wersję 9, ponieważ Wersja 8.5 nie usunie wszystkich tych wirusów.)
- po wyczyszczeniu napędu włóż go z powrotem do oryginalnej maszyny.
- po uruchomieniu może pojawić się komunikat, że nie może znaleźć tego lub tamtego pliku lub.dll itp. Nie oznacza to, że maszyna jest nadal zainfekowana. Rejestr szuka plików utworzonych przez wirusa, które są teraz usuwane. Zwróć uwagę, jakie są pliki, a następnie użyj regedit, aby znaleźć linie wzywające do nich i usunąć te wpisy rejestru.
jeśli wszystko pójdzie dobrze, powinieneś teraz być w stanie ponownie uruchomić maszynę i uzyskać czysty rozruch. Być może będziesz musiał włączyć automatyczne aktualizacje z powrotem, ale w przeciwnym razie nie znalazłem żadnych trwałych uszkodzeń.
po zmianie ustawień właściwości zgodnie z opisem, byłem w stanie wyczyścić cały dysk w jednym ujęciu. Od tego czasu używałem tej metody do czyszczenia infekcji z kilku innych komputerów, więc mam wysoki poziom zaufania do metody.
mam nadzieję, że to ci pomoże, jeśli znajdziesz się w obliczu tego irytującego zagrożenia.