programföretagens Desktop Resource
skriven av Paul Litwinovich inlagd i IT-Administration.
ladda ner PDF
att hålla datorer fria från några av de otäcka sakerna på Internet kräver ständig vaksamhet, kanske med ett anti-malware-program. Datorer som används av personalen i kontrollrummet är ännu mer sårbara, eftersom användare kan använda mindre vård när de är på sådana vanliga delade datorer. Om din anläggning blir ”got”, har Paul Litwinovich lösningen:
jag hanterar cirka 70 datorer här på WSHU Public Radio Group och har blivit ganska bra på att städa upp enstaka virus som vanligtvis glider förbi i någons e-post.
under de senaste veckorna har det förekommit utslag av nya datorinfektioner orsakade av Vundo Trojan och dess virala varianter. Detta var en exceptionellt tuff, så jag var tvungen att göra en hel del forskning om det. Kanske kommer denna information att varna dig för farorna-och hjälpa om du hittar den på din dator.
infektion med Trojan
infektionen kan uppstå lätt: Vundo Trojan börjar som en pop up i din webbläsare talar om för användaren att datorns antivirusprogram är på väg att löpa ut – eller har. Det ber dig att ” klicka här för att åtgärda problemet.”Det kan erbjuda en gratis nedladdning av” Internet Security 2010 ”eller något annat program för att” rengöra din dator.”
varning: om du eller din personal ser denna pop up, inte frestas att klicka på” X ” för att stänga rutan. Det är alla en jpeg och om du klickar någonstans på det, det kommer att börja nedladdningsprocessen. På vissa varianter kan du högerklicka på ikonen för din webbläsare i det nedre aktivitetsfältet längst ner på skärmen och stänga webbläsaren. Om du har tur kommer detta också att stänga pop-up.
om popup-fönstret finns kvar på skärmen just nu är det enda sättet att spara alla öppna filer (dokument etc., som du arbetade med) och krascha sedan datorn genom att hålla ned strömbrytaren tills den stängs av. Du kan behöva gå igenom en diskkontroll när du startar om, men det slår alternativet.
Varning: Att göra en normal, ren avstängning ger det en chans att skriva sig till din hårddisk.
vad Vundo gör
det finns många variationer av Vundo-trojanerna, allt från det ”relativt” godartade till det mycket destruktiva. De flesta använder utseendet på någon form av popup-reklam och sedan rota sig för att göra dem svåra att ta bort.
om du klickar på pop-up, det kommer att lura vissa anti-virus program genom att visas som en avsiktlig nedladdning.
sedan, när viruset har laddat själv, det kommer att försöka stänga av din riktiga anti-virus program och ersätta dess ikon i aktivitetsfältet med en för en falsk anti-virus program. Det kan ändra dina säkerhetsinställningar för att visa en varning om att ditt antivirusprogram behöver uppdateras och när du klickar på varningen tar det dig till en falsk webbplats och försöker sälja dig mer falsk programvara, eller åtminstone få ditt kreditkortsnummer. Det falska antivirusprogrammet kan visas under ett antal namn.
viruset kommer ofta stänga automatiska uppdateringar, och skapa en fil som hindrar dig från att starta i felsäkert läge. Det kommer ofta att skriva skydda en kopia av sig själv i webbläsarens cache som inte kan tas bort. Om viruset upptäcker att du försöker ta bort det kan det skapa dussintals kopior av sig själv som visas som konstiga namngivna dll-filer i System32-katalogen. Mer information om hur Vundo fungerar finns på de flesta antiviruswebbplatser.
en punkt som kan hittas på nästan alla webbbeskrivningar av Vundo är att det kastar breda grindarna för att låta andra trojaner i, så ju längre datorn är obehandlad, desto fler virus du kommer att behöva ta itu med. Lyckligtvis kommer dessa att städa upp lätt när du skannar enheten efter att ha gjort ändringarna för att ta bort Vundo.
Dessutom kan det till och med ”bjuda in” andra virus att komma hem: du får ofta popup-annonser för andra webbplatser, produkter och porr, förutom annonser för det falska antivirusprogrammet.
analys
nyckeln är hur den lagrar en kopia av sig själv i mappen hidden System volume information (som används för att lagra återställningspunkter), skrivskyddad med alla utom systemåtkomst nekad-så ditt riktiga antivirus (om det fortfarande är funktionellt) eller online – skanningar som Trend Housecall kan inte alltid ta bort det. Det är också mycket bra på att förhindra borttagningsverktyg från att ladda och köra.
faktum är att AVG, Trend och Norton alla skulle upptäcka det och tro att de tog bort det, men där var det kvar. Jag upptäckte detta när jag försökte skanna bara SVI-mappen och fann ingen förändring i dess storlek efter att antiviruset rapporterade att viruset rengjordes. Jag fann då att virusfilerna var ganska låsta.
hur återhämta sig från Vundo
det är mycket svårt – i själva verket nästan omöjligt – att bli av med detta virus från den infekterade maskinen själv.
det enda säkra sättet att rensa upp denna infektion är att använda en av de adaptrar som låter dig ansluta en hårddisk till en USB-port som Olevia ADA-2020 eller liknande.
så här rengör du din dator:
- ta bort den infekterade enheten från sin maskin.
- Anslut den till USB-adaptern ansluten till en maskin med ett aktuellt antivirusprogram.
- Avbryt det irriterande autoplay-programmet som Windows öppnar när det ser enheten.
- öppna enheten i Windows. (Oroa dig inte: den här typen av virus kan inte infektera den andra datorn medan du gör det, det kan bara fungera från C: – enheten)
- när enheten är öppen och du kan se innehållet, från explorer-verktygsfältet Öppet: Verktyg/Mappalternativ / Visa och markera ”Visa dolda filer” och avmarkera sedan ”Dölj skyddade operativsystemfiler.”
- du kommer nu att se mappen Systemvolyminformation. Högerklicka på den och under egenskaper avmarkera ”skrivskyddad.”Medan du fortfarande är i egenskaper, gå till fliken Säkerhet och Lägg till den aktuella användaren eller administratören som ”full kontroll” (standardsystemanvändaren räcker inte). Se till att du tillämpar den här inställningen på undermappar (dvs. om du loggar in som ”Joe” lägger du till ”Joe” till de tillåtna användarna för den enhet du reparerar).
- Stäng egenskapsrutan och klicka Nu på mappen för att se om den öppnas och du kan se filerna.
- Stäng Utforskaren.
- klicka på den här datorn, högerklicka sedan på den infekterade enheten och välj ”Skanna med (vad som helst) antivirus” du använder. Se till att du berätta för programmet att ta bort alla upptäckta hot. (Om du använder AVG Free, se till att du är upp till version 9, eftersom 8.5 inte tar bort alla dessa virus.)
- när enheten är ren, sätt tillbaka den i sin ursprungliga maskin.
- när det startar kan du få meddelandet att det inte kan hitta den här eller den filen eller .dll, etc. Detta är inte en indikation på att maskinen fortfarande är infekterad. Registret letar efter filer som skapats av viruset som nu tas bort. Notera vad filerna är och använd sedan regedit för att hitta raderna som kräver dem och ta bort dessa registerposter.
om allt går bra bör du nu kunna starta om maskinen och få en ren start. Du kan behöva aktivera automatiska uppdateringar igen, men annars har jag inte hittat någon permanent skada.
efter att ha ändrat egenskapsinställningarna enligt beskrivningen kunde jag rengöra hela skivan i ett skott. Jag har sedan dess använt denna metod för att rengöra infektionen från flera andra datorer så jag har en hög grad av förtroende för metoden.
jag hoppas att detta hjälper dig, om du befinner dig inför denna irriterande hot.