Af Redaktionen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Selv omhyggelige pc-brugere kan blive ofre for ondsindet malware. Indlæs en uskyldigt udseende fil fra en usb-nøgle, klik på det forkerte link i søgeresultaterne, fraklik en suspekt dialogboks – alle disse handlinger kan være begyndelsen på en malwareinfektion. Og lad os sige det ligeud: Hvis dine internetaktiviteter omfatter download af torrents eller brug af piratsoftware, er du endnu mere udsat for at blive offer for orme, spyware eller trojanske heste.
I nogle henseender er det værre at opdage, at ens computer har virus, end det er at konstatere, at den lider af mekaniske fejl. Der kan være brug for en komplet geninstallation af Windows. Men der er noget, man kan prøve først, og der er en arbejdsgang, som man kan bruge til at rense pc’en og gendanne filerne. Vi fører dig igennem den.
Tegn på malware
Nogle malwareinfektioner er nemme at opdage; andre er det ikke. Der findes mange infektioner, som vi kan kalde ”scareware”. De er trojanske heste, som ondsindede websites narrer dig til at downloade. Det gør de ved at komme med en advarsel om, at din pc allerede er inficeret med malware.
Så snart infektionerne er på din maskine, formerer de sig flere steder og kommer med flere meddelelser, browservinduer og advarsler. Den slags infektioner er nemme at identificere. Usædvanlige nye værktøjsbjælker, genveje på skrivebordet til software, som du ikke kan huske, at du har installeret, og en browser, der skifter startside, er alle klassiske symptomer.
Andre mindre indlysende tegn kan omfatte øget brug af din bredbåndskapacitet; routerlamper, der viser aktivitet, når der ikke burde være nogen; din browser kommer med uventede vinduer; og maskinen booter, når du mindst venter det. Nogle former for malware er blot underlige, såsom en musemarkør, der vender på hovedet. Uanset tegnene er kuren den samme: Den ondsindede kode skal fjernes.
Stabiliser dit system
Det første man skal gøre, er at stabilisere systemet så meget som muligt. Det kan være vanskeligt, hvis maskinen kommer med vinduer og advarsler hvert sekund. Derfor skal man begynde med at boote i fejlsikret tilstand.
Genstart din computer, og tryk [F8] under starten (tryk to gange, hvis du først får mulighed for at vælge operativsystem). Vælg ’Fejlsikret tilstand’ på den avancerede boot-skærm.
Nu bliver Windows indlæst, men alle startprogrammer er slået fra, og der bliver kun indlæst begrænsede hardwaredrivere. Du har heller ingen netværksfunktionalitet, og det er afgørende for at forhindre spywareprogrammer i at ringe hjem eller hente data fra pop up-vinduer.
Skriv msconfig i ’Start’-menuens søgefelt, og start programmet. Klik på ’Start’, og fravælg alt andet end det nødvendige – eller vælg simpelthen ’Deaktiver alt’. Klik på ’Anvend’ for at bekræfte, og gå så til knappen ’Boot’. Klik ud for ’Make all boot settings permanent’.
Gå nu til Kontrolpanelet, og vælg ’Tilføj/fjern programmer’. Fjern alle programmer, der ikke er nødvendige, især værktøjsbjælker og browser-add-ons. I nogle tilfælde er det nok til at forhindre ondsindet kode i at blive indlæst, når maskinen starter.
Nu skal du fjerne alle midlertidige filer. Tøm alle browsercacher, og fjern alle filerne i de følgende mapper (hvis der er nogen): C:WindowsTemp, C:Temp, C:Documents and settingsditbrugernavnLokale indstillingerTemp og C:Documents and settingsditbrugernavnDokumenterOverførsler.
Du kan også få din browser til at slette midlertidige internetfiler. Gå til ’Tools | Options | Clear browsing data’ i Chrome, eller gå til ’Funktioner | Internetindstillinger’ i Internet Explorer. Vælg så ’Slet’ under ’Browserdata’. Klik ud for alle boksene, og klik ’OK’.
En hurtigere måde at rydde op i midlertidige mapper og browsercaches består i at bruge det imponerende CCleaner – et værktøj, der fjerner alle ikke-essentielle filer, som kunne tænkes at have en negativ indflydelse på dit system. Hent det på www.ccleaner.com, og kør det med standardindstillingerne, så sletter det eventuelle væmmelige sager, der gemmer sig i dine temp-mapper. Det finder også risikable indstillinger i registreringsdatabasen, forældreløse genveje og overflødige tilknytninger. Det hjælper meget til at stabilisere systemet.
Find malware
Mens din maskine er i fejlsikret tilstand, kan du begynde at finde og fjerne malware ved hjælp af tre gratis freewareværktøjer. Det første er Sophos Anti-Rootkit. Denne software er specialist i at fjerne software, der har bemægtiget sig administratorrettigheder på din maskine. Denne form for software er særlig vanskelig at fjerne, fordi det kræver administratoradgang, og den er ofte svær at afsløre.
Du skal lade dig registrere hos Sophos, før du kan downloade softwaren, men du kan vælge ikke at modtage e-mails om firmaets produkter, hvis du vil.
Værktøjet begynder med at scanne registreringsdatabasen, hvorefter det scanner lokale drev og analyserer processer i hukommelsen. Det leder efter skjulte filer, der ikke kan identificeres. Når det finder dem, bliver de føjet til en liste. Det er op til dig at undersøge disse filer og beslutte, om de er onde eller flinke. Du kan udvælge dem en ad gangen og vælge ’Clean up checked items’, hvis softwaren anbefaler det.
Hvorfor fjerne rootkits først? De er en særlig stædig form for malware, der nægter at forsvinde. Man kan slette eksekverbare filer, dele af registreringsdatabasen og filer, der er knyttet til et bestemt stykke malware, men hvis der er en skjult fil, der bliver indlæst ved boot, kommer de alle igen.
Søg og knus
Vores næste skridt er at fjerne spyware ved hjælp af SpyBot Search & Destroy. Det er også gratis at downloade, og programmet kan heldigvis køre, mens maskinen er i fejlsikret tilstand. Det leder efter spyware-applikationer, men afslører også cookies, der ikke er fine i kanten – dem, der bliver brugt til forbryderisk markedsføring. Hvis du allerede har ryddet op i maskinens midlertidige internetfiler, burde der naturligvis ikke være nogen.
Så snart SpyBot har gennemsøgt maskinens registreringsdatabase, hukommelse og drev, genererer det en liste over filer, der kan ordnes. Cookies er normalt ikke et problem i sig selv, og du kan vælge, om du vil fjerne dem eller ej. Respektabel eksekverbar fileware, derimod, bør altid fjernes – ingen spørgsmål, ingen pardon.
Antivirusprogrammer døjer ofte med fejlsikret tilstand. De skal blandt andet bruge netadgang for at undersøge virusdefinitioner. AVG Free er vores normale valg, når det gælder om at fjerne trojanske heste og orme, men den kører fra kommandolinjen, når Windows booter i fejlsikret tilstand. Det er den dårlige nyhed.
Den gode nyhed er, at AVG Free 2011 indlæser en kommandolinje-grænseflade, når den opdager, at maskinen er i fejlsikret tilstand. Så kan man indlede en scanning ved hjælp af en række tjekbokse i stedet for at skulle skrive en række kommandoer.
Tag backup nu
Du har forhåbentlig allerede en backup af essentielle filer. Men hvis det ikke er tilfældet, bør du udnytte den fejlsikrede tilstand og hente de dokumenter, du skal bruge, fra maskinen. I værste fald kan du være nødt til helt at formatere drevet, og det er derfor vigtigt at redde, hvad du kan.
Vores hidtidige handlinger bør have gjort systemet stabilt nok til, at du kan installere antimalwareværktøjer og tage backup af de vigtigste filer. Du har muligvis ikke fanget det hele, men hvis du har kunnet rydde op i noget af rodet, er du måske parat til at boote normalt i Windows og fjerne eventuelle rester af malware. Husk dog først at slukke for routeren. Det sidste, du har brug for, er, at maskinen går på nettet, når den booter.
Fjern malware
Før du booter normalt i Windows, bør du give dig tid til at samle et sæt til fjernelse af malware. Du skal bruge en ikke-kontamineret maskine. Foruden den software, vi allerede har brugt og nævnt, vil vi også anbefale Malware Bytes, AdWare og ComboFix. Hav dem liggende på en usb-nøgle med henblik på malwareuheld.
Før du kører dem, skal du huske, at alle versioner af Windows fra XP og fremefter har et værktøj til manuelt at spore malware: Jobliste. Start den ved at trykke [Ctrl]+[Alt]+[Delete]. Klik på ’Processer’ for at se, hvad der kører. En endnu bedre løsning er at downloade Process Explorer, der gør det nemmere at afsløre malware-processer.
Processer uden ikoner eller beskrivelser, der bruger hukommelse, er oplagte mistænkte. Du kan bruge begge værktøjer til at stoppe applikationer og suspekte processer midlertidigt. Det bedste er at stoppe dem midlertidigt. Hvis du i stedet afslutter dem, starter de simpelthen igen. Og så skal du indlede et bombardement med antimalwareværktøjer. Når du har kørt AdAware, Malware Bytes og Combofix, skal du genstarte og køre dem igen.
XZXZ
Ser det ud til, at din maskine er for angrebet til at kunne reddes, selv efter alt dette? Det kan ske. Nogle former for malware kan angribe maskinen så ondsindet, at man simpelthen ikke kan installere nogen reparationsværktøjer.
Hvis det er tilfældet, er tiden inde til at gå helt uden om operativsystemet. Med Kaspersky Rescue Disk 10 kan man boote fra en usb-nøgle eller en cd og gå uden om sit eget system, hvorefter man kan scanne og fjerne malwaretrusler uden selv at blive chikaneret af malwaren. Der findes andre værktøjer, men Kasperskys er gratis og langt det nemmeste at brænde og bruge, fordi det er i iso-format.
Hvis alt dette svigter, er tiden kommet til at tage backup af dine dokumenter, formatere harddisken og geninstallere Windows.
Ultimate Boot CD er måske den bedste hjælp til systemer, der er lammet af diskfejl eller malwareangreb. Det får maskinen op at køre igen, uden at du behøver at boote fra dit lokale operativsystem.
Det findes i to udgaver. Det originale UBCD er Linux-baseret og fuldt af diagnosticeringsværktøjer til skrantende pc’er. Det kan under alle omstændigheder give dig adgang til din hardware og dine data og lave en backup af essentielle filer. Der følger også et antivirusværktøj med: Avira AntiVir.
Ultimate Boot CD til Windows er et separat projekt. Man kan downloade cd’en som et diskimage, og den skal man bruge i integration med en lovformelig udgave af Windows XP. Til det formål skal du bruge en Windows XP-cd, SP1 eller SP2 og de værktøjer, der følger med UBCD4WIN.
Din møje bliver belønnet med en XP-bootdisk med et dusin antimalwareværktøjer. Det burde være nok til at rydde op i stort set enhver virusinfektion.
UBCD kan være nyttig, når du skal rydde op efter en katastrofe. Du kan i det mindste boote og få adgang til dine filer. Du kan også tage den angrebne harddisk ud af maskinen, sætte den i et kabinet og hente vigtige filer fra den ved hjælp af en anden pc. Du booter ikke fra drevet, og det burde derfor være sikkert nok.
Det er dog altid bedst at være overforsigtig. Megen malware ligger gemt i eksekverbare filer, men den kan også være forklædt. Lad være med at trække og slippe hele mapper uden først at tjekke deres indhold. Scan de eksterne drev for malware og virus, før du stoler på dets indhold. Hent filerne en ad gangen.
Når det gælder opdaterede værktøjer og dybdegående analyse af Windows-problemer, er Sysintervals den blog, man skal opsøge.
Den bliver skrevet af Mark Russinovich, der har titlen Technical Fellow hos Microsoft. Bloggen blev oprettet med det formål at undersøge systemværktøjer. De omfatter Process Explorer, der er en uvurderlig applikation til manuel sporing af malware.
Rootkitproblemer bliver kyndigt håndteret af www.antirootkit.com, der rummer et nyhedssite og fora, der bliver opsøgt af professionelle it-folk. Hvis der kommer nye rootkitmetoder, er det her, man først hører om dem.
Endelig er der en anden Microsoft-kilde. Microsoft Malware Protection Centerer selskabets blog for offentlige trusler og løsningerne heraf. Den bringer dagligt oplysninger om ny udvikling inden for malware.
[themepacific_accordion][themepacific_accordion_section title="Fakta"]
Det skal du bruge …
[/themepacific_accordion_section][themepacific_accordion_section title="Fakta"]
Nye kodeord
[/themepacific_accordion_section][themepacific_accordion_section title="Fakta"]
Flere forskellige værktøjer
[/themepacific_accordion_section][themepacific_accordion_section title="Fakta"]
Systemgendannelse
[/themepacific_accordion_section][/themepacific_accordion]