Win32 как его вылечить

Насколько я вижу из статистики, посетители приходят на данную страницу из поисковых систем, чтобы найти как лечить Win32.Bundpil. Для вашего удобства я размещаю ответ на ваш вопрос в самом начале поста. Если интересно, можете прочитать ниже и историю о том, как я с ним столкнулся.

Как вылечить компьютер от Win32.Bundpil?

Буду краток: антивирусом. Если он у вас есть, но не “застукал” зловреда, то это значит, что его вирусная база безмерно устарела. Вирус Win32.Bundpil на сегодняшний день уже довольно старый, и о нём знают все антивирусы, ну, кроме самых дремучих. Если у вас не продлена лицензия на антивирус, то можете воспользоваться бесплатными антивирусами, вроде Avira AntiVir или Avast. Они бесплатны для рядовых пользователей и точно лечат Win32.Bundpil.

1. Обновите антивирусные базы вашего антивируса.
2. Запустите полную проверку компьютера и дождитесь её окончания.

Как вылечить флешку от Win32.Bundpil?

Ответ тот же: антивирусом. Убедитесь, что он включен, вставьте флешку и запустите проверку флешки. Обычно в антивирусах можно выбрать, какие устройства проверять. Можно совместить это с предыдущим пунктом: запустить полную проверку, имея флешку вставленной. Таким образом вылечится и она тоже.

Если же вы решили по каким-то причинам (например, у вас Linux) удалить Win32.Bundpil с флешки вручную, то вот вам порядок действий (для опытных пользователей!):

1. Если у вас есть антивирус, то убедитесь, что он включён. В противном случае, обязательно отключите автозапуск с внешних носителей (если это до сих пор не сделано), иначе можно заразить компьютер!
2. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
3. Вставляем флешку.
4. Удаляем всё из корня кроме папки с “пустым” названием (она ещё может иметь иконку накопителя).
5. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
6. Удаляем desktop.ini из корня.

Как предохраниться от заражения Win32.Bundpil?

Вот несколько советов. следование которым позволит вам не заражаться Win32.Bundpil, как и другими вирусами.

1. Коль скоро у вас возникают такие вопросы, пользуйтесь антивирусом и всегда вовремя обновляйте антивирусные базы. Если вы пользовались платным антивирусом, а потом на него кончилась лицензия, и он не хочет больше обновлять базы, и нет возможности лицензию продлить, удалите его и воспользуйтесь бесплатными антивирусами, вроде Avira AntiVir или Avast. Лучше бесплатный “Avast” с сегодняшними базами, чем “Касперский” с прошлогодними!
2. Если вы пользуетесь ОС семейства Windows, в которой имеется UAC (а именно: Windows Vista, Windows 7, Windows 8), не отключайте UAC! Если кто-то “умный” уже отключил его до вас, включите. UAC — это ещё одна ступень защиты компьютера от вирусов, отключая его, вы даёте вирусам ещё одну возможность заразить ваш компьютер!
3. Отключите автозапуск с внешних носителей. Вирусы очень часто заражают компьютер через флешки, будучи запущенными в момент, когда флешку вставили. Чтобы это предотвратить, нужно отключить автозапуск с внешних носителей.
4. Регулярно обновляйте операционную систему! Обновления — это не только новые вещи для пользователей, но и обновление защиты против известных вирусов. У обновлённой операционной системы риск заражения минимален! Перестаньте использовать Windows XP! С апреля 2014 года обновления для неё больше не выходят, а это значит, что она уязвима для вирусов (а антивирусы — это всё же лечение симптомов, а не корня проблемы). Windfows XP — самая подверженная вирусным атакам ОС на сегодняшний день. Отложите в сторону ваш консерватизм и потратьте немного вашего времени на то, чтобы освоить Windows 7 — потом сами поймёте, что она имеет много преимуществ перед XP (и не только в отношении безопасности). Иначе так и будете постоянно удивляться “Да откуда же постоянно лезут все эти вирусы??”.

На этом, пожалуй, всё. Можете прочитать мою историю о том, как я встретил и излечил Win32.Bundpil, если, конечно, интересно.

Сегодня ходил в универ показывать результаты своих охуительных усилий в области экспериментальных методов исследований ширины спектра генерации YAG:Nd-лазера, которые я принёс на флешке, уже второй раз, переделанные.

Но сия охуительная история не об экспериментальных методах исследований. В 501-й аудитории корпуса на переулке Гривцова на компах стоит XP с админскими правами и НОД32 с базами 2011 года. В-общем, результат немного предсказуем. Конечно же, флешка была тут же засрана зловредами.

Подобные вещи в народе часто называют “вирусами”. Тем не менее, не люблю я это слово, т.к. оно обозначает класс вредоносного ПО с вполне определённым функционалом, и нельзя, не зная истинного предназначения вредоносной программы и её возможностей, называть её именно вирусом. Так что буду говорить “зловред”, а если где-то далее я и скажу “вирус”, то стоит понимать под этим “вредоносное ПО”, если только в контексте не указано иное.

Принёс домой. Как и ожидалось, на 8.1 с включённым UAC автозапуск зловреда не сработал. Но вот теперь надо придумать как мне до моих файлов теперь добраться в обход этого ярлыка. Кстати, в его свойствах написан путь:

C:WINDOWSsystem32rundll32.exe ~$WWHJ.NFC,crys pupupupupupupupupupup kfkfkfkfkfkfkfpaup

Налицо явный пример эксплойта переполнения стека у необновлённого хост-процесса винды ХР. Сам файл ~$WWHJ.NFC лежал рядышком с атрибутом “Скрытый” и был отправлен мною на Вирустотал с таким результатом:
https://www.virustotal.com/ru/file/f531a86c9bfa4b0f402092c2860a0d94d340281581aafcb0aa106ad0b6d80e73/analysis/1390587014/

Win32.Bundpil, стало быть.

Прежде чем пытаться что-то делать самому, скачал CureIt: авось демонстрационная версия Dr.Web’а продемонстрирует свои самые лучшие стороны да и очистит несчастный накопитель. CureIt пропердолила мне мною же редактированный хостс (чуть не удалила, кстати результаты моих стараний!), а на флешке ничего не нашла (хоть и был выставлен поиск по ней). Я уже говорил, что антивирусы — это шарлатанские программы? Нет? Не говорил? О, тогда надо будет в другой раз об этом рассказать! А флешку в итоге я вилкой вычистил сам.

Короче, что этот зловред делает? Он создаёт в корне папку с “пустым” названием (на самом деле там какой-то символ в названии есть, просто отображается он как пустое место), кладёт туда всё содержимое флешки, ставит ей атрибут “скрытый” и ещё делает ей иконку значка накопителя при помощи desktop.ini. Непонятно, правда, зачем, ведь всё равно папка скрытая. Кроме того, создаёт ещё несколько скрытых файлов в числе которых само тело зловреда, ярлык, его запускающий и открывающий вышеозначенную папку (типа, кликнул — открылась папка и незаметно запустился зловред, на случай если авторан отключен), ну, и autorun.inf чтоб всё это добро запускалось сразу по втыкании.

Конечный алгоритм ручного очищения флешки таков:
1. Включаем отображение скрытых файлов и папок, расширений файлов (если это ещё до сих пор не сделано).
2. Удаляем всё из корня кроме папки с “пустым” названием (она ещё может иметь иконку накопителя).
3. Заходим в вышеозначенную папку, перемещаем всё её содержимое в корень, саму её удаляем.
4. Убираем desktop.ini из корня.
Проделывать с отключённым автозапуском с внешних носителей и включённым UAC.

В апреле 2014 года компания Майкрософт, как она уже неоднократно сообщала, прекратит поддержку Windows XP. Многие разводят руками: а зачем, дескать, мне эта поддержка, если я ни разу в ихнюю службу и не звонил, да и винда у меня кряченная, так что они всё равно не ответят? Подобные утверждения могут делать только совсем уж некомпетентные люди, многие из которых, к сожалению, мнят себя “компьютерщиками”. В этот же ряд становятся и всякие дурни, сразу после установки отключающие обновления и UAC (если речь идёт о более поздних версиях ОС) — ну, нельзя же каждому такому гражданину свои мозги вставить. Ведь помимо телефонной справки, поддержка Windows — это ещё и регулярное обновление файлов ОС, прежде всего чтобы не допустить подобных заражений.

Вот ещё один пример из истории — вирус Conficker. Цитируем Википедию:

Эпидемия стала возможной в результате того, что значительная часть пользователей оказалась подвержена уязвимостям, ранее устраненным критическими обновлениями MS08-067, MS08-068 и MS08-069.

Ну, то есть заразились как раз самые умные, т.е. кто не обновлял систему, хотя всё было уже давно исправлено.

Кстати, обновления безопасности могут получать и пользователи пиратских копий. Всё-то ругают Майкрософт, а они вон даже пиратам обновления не отключают. Родина дала тебе обновления! Не хочу, отключу!

Бдительность, обновлённый софт и прямые руки — это и есть основа информационной безопасности, а вовсе не антивирусы. К сожалению, понимают это ещё далеко не все.

Вы всё ещё считаете, что обновления ОС — плохая идея? Тогда мы идём к вам.

You can leave a comment with “Facebook”:

Не забывайте оставлять комментарии при помощи “ВКонтакте”:

Вирусы всегда были своеобразным камнем преткновения для Windows-систем. Они могут не только оказывать на них деструктивное воздействие, но и заниматься кражей пользовательских данных. Одной из самых серьезных угроз современности можно назвать Win32.Malware-gen. Что за вирус перед нами, и как с ним бороться, будет описано ниже. Предлагаемые решения особых трудностей вызвать не должны, однако попутно стоит обратить на некоторые существенные нюансы, знание которых позволит избавиться не только от этой угрозы, но и от множества других вирусов.

Что за вирус Win32.Malware-gen?

Данная угроза является одной из самых небезопасных. Что за вирус Win32.Malware-gen? Это троян (причем далеко не самый обычный).

Его отличие от множества себе подобных состоит в том, что его появление в системе может оставаться совершенно незамеченным, некоторые антивирусы на входе его не распознают, а присутствие его на компьютере до определенного момента может оставаться незаметным, поскольку на первых порах угроза может не проявляться себя абсолютно ничем. Действие на операционную систему начинается намного позже, так сказать, по завершении инкубационного периода.

Угроза Win32.Malware-gen: что это с точки зрения воздействия на компьютер?

Как уже говорилось, угроза является скрытой, поэтому на первых порах пользователь может даже не догадываться, что вирус обосновался в системе. Через некоторое время начинается воздействие. Вирус внедряется в браузеры и производит постоянную переадресацию на зараженные сайты, вследствие чего в систему проникает стороннее вредоносное программное обеспечение. Со временем возрастает нагрузка на системные ресурсы и нарушается интернет-подключение.

Вирус связывается со своими серверами и передает на них конфиденциальную пользовательскую информацию. В конечном итоге, воздействие приводит к изменению критически важных ключей реестра, сбоям в работе Windows, блокировке некоторых сайтов и даже к дисфункции антивирусного ПО.

Удаление Win32.Malware-gen вручную

Такова угроза Win32.Malware-gen. Что за вирус перед нами, думается, уже понятно. Проникает он в систему, как считается, с неблагонадежных сайтов или через торренты. Но давайте посмотрим, как удалить Win32.Malware-gen, если под рукой никаких мощных инструментов нет, а антивирус угрозу уже пропустил.

Первым делом можно использовать стандартную процедуру удаления через раздел программ и компонентов. Только в списке установленных приложений нужно искать не только саму угрозу по названию, но и сомнительные программы, инсталлированные в последнее время (список лучше отсортировать по дате). Их все нужно удалить, предварительно записав названия.

После этого следует зайти в реестр и задать поиск по названию удаленных приложений. Соответственно, от всех найденных ключей тоже нужно избавиться. Аналогичные процедуры следует проделать в «Проводнике» или в каком-то другом файловом менеджере.

Для браузеров можно использовать функцию сброса настроек, как самое простое средство восстановления первичных параметров, или заменить поисковую систему и стартовую страницу вручную. Также желательно проверить установленные расширения.

После этого следует проверить свойства ярлыков обозревателей на предмет того, чтобы в типе объекта после расширения EXE с названием браузера или указания на лаунчер (файл запуска) не было дописано что-то еще.

Использование деинсталляторов

Теперь несколько слов о том, как удалить вирус Win32.Malware-gen при помощи программ-деинсталляторов. Использовать можно, например, мощнейшее в своем классе приложение iObit Uninstaller.

В запущенной программе после сортировки в списке, похожем на раздел программ и компонентов Windows, желательно активировать пакетное удаление, отметить все сомнительные программы, произвести стандартное удаление, а затем задать мощное сканирование и удалить все найденные остатки с уничтожением файлов.

Автоматизированные утилиты нейтрализации вирусных угроз

На сегодняшний день существует не так много специализированных программ, которые способны находит и удалять Win32.Malware-gen в автоматическом режиме.

Оптимальным вариантом можно назвать применение утилит вроде AdwCleaner, Norman Malware Cleaner, Spybot Search & Destroy и т. д. Первые две программы можно найти в портативном виде, для которого установка на жесткий диск не требуется. Третье приложение нужно будет инсталлировать. И первые две программы выглядят в использовании намного предпочтительнее.

Обратите внимание и на то, что при слишком глубоком проникновении основного вируса в систему, сканирование может выявить и множество других угроз. Поэтому не удивляйтесь, если список окажется уж слишком большим. Как уже говорилось, связано это с тем, что основная угроза открывает пути проникновения на компьютер и для других вирусов (они могут быть даже никак не связаны между собой). Таким образом, как только замечены первые признаки появления вышеописанных симптомов заражения, необходимо срочно принимать меры, а то потом будет поздно.

В заключение

В качестве итога остается добавить, что сам вирус достаточно хорошо маскируется, а его действие проявляется намного позже даты проникновения. Кроме того, особо осторожным следует быть при загрузке торрент-контента и посещении сайтов с потенциально опасным содержимым. По крайней мере, антивирусы от ESET или «Лаборатории Касперского» уведомления о потенциальных угрозах выдают даже при автоматическом перенаправлении на определенные интернет-ресурсы.

Что касается удаления угрозы, вручную от нее избавиться можно только в том, случае, если под рукой никаких других инструментов нет. В остальных случаях лучше использовать специализированные утилиты (и для полной деинсталляции вируса, и сопутствующих приложений, и для нейтрализации основной угрозы).