AVP sparker røv
Opskrift på at fjerne Trojan.PSW.Horse.b "virus"

Hvis din computer er angrebet af virussen (eller snarere den trojanske hest) Trojan.PSW.Horse.b eller DUNpws.dd , som den hedder på McAfee sprog, kan jeg kun anbefalde det russiske antivirus program Antiviral Toolkit Pro. Programmer er lavet af Kaspersky Lab - som er en af verdens førende indenfor virusbeskyttelse. Denne trojanske hest havde til formål at aflurre passwords, for derefter at sende dem til ophavsmanden. Grunden til min kraftige opfordring til at bruge AVP, kan læses udaf mit hændelsesforløb:

I starten af september 2000 begyndte mit antivirusprogram McAfee, et ellers godt program, at rapportere om en virus med det spøjse navn DUNpws.dd (hvor DUN står for Dial Up Network og pws for password). En sådan nyhed er aldrig rar at få, men den kunne McAfee jo sagtens fjerne - troede jeg. Jeg kunne nemlig hverken slette eller fjerne den, og grunden dertil var, at virussen åbenbart lå i en ikke eksisterende fil på harddisken - se figuren:

Virusalarm fra McAfee Antivirus 4.0

Derpå installerede jeg Norton Antivirus 5.0, men den kunne ikke finde noget som helst, det kunne McAfee heller ikke i DOS - her skal det lige siges at de begge var opdateret med de nyeste virusdatabaser. Efter at have prøvet endnu et antivirusprogram ved navn InoculateIT Personal Edition (som er gratis for private), som heller ikke gav pote, konkluderede jeg at McAfee åbenbart måtte tage fejl, og at der derfor ikke var virus på min computer. Jeg skulle tage fejl. Jeg gik stadig rundt og irriterede mig over at hver gang jeg gik på Internettet, brokede McAfee sig over denne tilsyneladende fiktive virus. En af mine venner anbefalede en dag et russisk antivirusprogram med det mystiske navn AVP, som værende det bedste der fandtes, samtidig med at han kritiserede Norton og McAfee. På det tidspunkt var jeg svoren McAfee tilhænger, men jeg måtte alligevel afprøve AVP. Jeg downloadede det og installerede det, og 10 minutter efter, fik jeg nøjagtig besked på, hvilken virus det var (okay det kunne McAfee også) og hvilke filer den havde inficeret. De inficerede filer var heldigvis kun to, nemlig:

kernel32.exe
kernel32.dll

Begge filer ligger i windows/system mappen. AVP kunne fjerne virussen fra den ene fil, nemlig kernel32.dll, men ikke fra kernel32.exe, denne fil bruges af Windows hele tiden og kan derfor ikke kan fjernes. Det skulle dog vise sig, ikke at være noget problem for AVP, man blev simpelhen spurgt om AVP skulle genstarte maskinen og se om den kunne slette den fra DOS, hvilket den gjorde til fuld tilfredshed. Man kunne også manuelt gå ud i DOS, og overskrive disse filer med friske. For at opsummere kort:

InoculateIT Personal Edition: Fandt ikke nogen virus.
Norton Antivirus 5.0: Fandt ikke nogen virus.
McAfee 4.0: Fandt virussen, men kunne ikke fjerne den.
Antiviral Toolkit Pro: Fandt og fjernede virussen helt fra computeren.

Det skal lige sige at virussen trængte ind i computeren, trods det faktum at den var beskyttet med en firewall i form af Zonelabs Zonealarm 2.1. Med dette program kan man afgøre præcist hvilke programmer der skal have adgang til Internettet, og trojanske heste skal også godkendes af dette program. Desværre skjulte virussen sig i filen kernel32.exe som jeg uden videre gav adgang til Internettet, i den tro at den var en harmløss komponent af Windows og derfor skulle have adgang for at det hele fungerede som det skulle. Det skal her siges at kernel32.exe, ikke er en del af Windows og derfor skal slettes, i registreringsdatabasen kan kernel32.exe også forekomme under:

Software\Microsoft\Windows\CurrentVersion\Run

Hvis den gør det, skal denne streng også slettes.

Dette er samtidig en opfordring til, at man skal være meget mere varsom med, at give programmer adgang til Internettet og netværk i al almindelighed. Jeg vil derfor stadig anbefale brugen af firewalls da de forbedre netværksikkerheden fra ingenting, og så til at have noget der overhovedet kan kaldes sikkerhed. Zonealarm er i øvrigt gratis for private og kan hentes fra www.zonelabs.com, og kan på det kraftigste anbefales sammen med AVP, som kan findes i en fuldt funktionel prøveversion på www.avp.ru .

Anders Skærlund Petersen, 7/10-2000
anders.s.petersen@usa.net


©Anders Skærlund Petersen, 1998-2000