WIS blogg

Å lage en generell beskrivelse for fjerning av alle virus er nok ikke mulig, men med en av disse fem metodene så vil jeg tro at du skal kunne ta knekken på de mest hardnakkede virus.

Først en liten oppklaring av hva jeg mener med virus:
Med virus mener jeg alle typer program som sniker seg inn på PC'en din uten din tillatelse, så det vil omfatte: Virus, ormer, spyware og adware.
Så i følge wikipedia så faller disse tre kategoriene inn under hva jeg kaller virus:

http://no.wikipedia.org/wiki/Datavirus
http://no.wikipedia.org/wiki/Spyware
http://no.wikipedia.org/wiki/Adware

Og i noen tilfeller vil jeg ta med programmer som laster seg selv før de trengs(Office, Acrobat reader, OpenOffice osv.) og programmer som installerer egne oppdateringsprogrammer. Dette er ikke virus, men i sum så trekker de ned ytelsen til PC'en.

Fem måter og bli kvitt virus på:
1. Om du er helt grønn på data, så ring, eller ennå bedre be en venn som har peiling på data over på besøk.
 - Vær ærlig, ikke be han/henne over for å se fotballkamp, for så og smette inn at du har en pc med virus på.
 - Sett av nok tid, ikke forvent at han kan fikse det på en liten time.
 - Det beste er av og til å sette igjen PC'n hos vennen for periodisk overhaling.
 - Vær raus med skryt og takk:-)
 - Hold vennen din for deg selv, ikke annonser til hele venneflokken din at du vet om en datakyndig som fikser alt:-)

2. Kjør antivirus program
 - Her hjelper det skjelden og være etter snar, antivirus må være installert før en klikker på mistenkelige vedlegg.
 - Sørg for at det oppdaterer seg automatisk.
 - Prøv en online antivirusskan på f.eks: http://housecall.trendmicro.com/
 - Ikke betal i dyre dommer for antivirus software for hjemme bruk. Greie gratis alternativer er Avast(http://www.avast.com) og Avira(http://www.avira.com), ønsker du top ytelse og er villig til å betale litt så anbefaler jeg ESET NOD32(http://www.eset.com).
 - Kjør gjerne program for å fjerne spyware & adware i tillegg slik som: Spybot SD(http://www.safer-networking.org) eller Ad-Aware(http://www.lavasoft.com)
 - Om det allerede har sneket seg inn virus så prøv en eller flere av de fire andre måtene.
 - IKKE installer en tung mastodont av ett antivirusprogram slik som: Norman, Symantec Norton, McAfee eller Panda. Selv AVG som for ikke så lenge siden var liten og kjapp har est ut:-(
   <<Enkelte antivirus program kan få en rimelig oppegående PC til å kravle i sirup og gi mer trøbbel enn virus.>>

3. Sjekk om du har supportavtale som dekker fjerning av antivirus
 - Koster som regel penger.
 - De setter som regel PC'n tilbake slik den var når du fikk den. Altså mister du alle bilder, musikk og video filer du hadde på PC'n.
 - Eventuelt ring support og la de veilede deg i og sette tilbake PC'en

4. Kast den/gi den bort til noen du ikke liker, og kjøp ny PC:-)

5. Fjern viruset selv.
NB: Følg denne anvisningen på eget ansvar! En skal ikke trå så mye feil før maskinen ikke lar seg boote.
Er du rimelig grønn så sjekk punkt 1 og finn ut om noen av dine venner har en lysere grønnfarge, og gjør det før du roter det til ennå mer ved og prøve selv.
"ikke helt grønn" = Du finner frem i filsystemet og er ikke redd for å starte ukjente programmer.(noe som nok satte deg i denne klemma i første omgang:-))

Forarbeid:
I: Før du starter så trenger du ett par verktøy, last ned disse fra Sysinternals(URL)
- Process Explorer - En veldig forbedret oppgavebehandler
- PSTools - Diverse kommandolinje verktøy
- TCPView - Portmonitor
- Autoruns - Forteller deg hva som starter ved oppstart/pålogging

Ingen av disse programmene trenger du og installere, bare pakk de ut til en lett tilgjengelig folder, f.eks: c:\av eller ennå bedre, legg de på en minnepenn så lever du opp til speidermottoet: Altid beredt
Send en stor takk til Sysinternals!!!

II: Skriv ut denne veiledningen.

III: Finn frem penn og papir.

IV: Er virusene av den hissige typen så kan det lønne seg og starte maskinen i sikkermodus.
Trykk F8 gjentatte ganger etter at du slår på maskinen og velg sikkermodus med nettverk i menyen.

Fjerning av virus:
- Lukk alle programmer du kjenner: word, internet explorer osv. slik at du ikke har noen vindu oppe.
- Lukk alle program i systray(nede til høyre ved klokka) slik som messenger, g-mail notifier osv.
- Sjekk om det er mulig og avinstallere evt. spyware og andre "søppelprogrammer"
  - Start opp kontrollpanel og velg Legg til eller fjærn programmer.
  - Gå gjennom lista og fjærn programmer du mistenker for å være spyware.
  - Er du usikker så søk på http://groups.google.com etter: NavnPåMistenkeligProgram spyware
  - En del spyware krever at du fyller ut ett skjema på nettet før du får avinstallert programmet, bare spill på lag innen for rimelighetens grenser.

- Start opp Autoruns(c:\av\autoruns.exe)
  - For å få det litt mer oversiktlig så avbryt scanningen og gå til Options og huk av for Verify Code Signatures og for Hide Signed Microsoft Entries
 - Trykk så F5 og du får da opp oversikt over alle programmer som starter opp når maskina di starter.
 - Det er to kolonner som er nyttige for å skille virus fra hveten:
   - Publisher, som sier hvem som har laget programmet. De fleste virus har ikke oppgitt publisher! Rart?:-) Har heller ikke kommet over noen som på denne måten utgir seg for å være publisert av f.eks microsoft.
   - Den andre kolonnen er Image path som forteller hvor fila ligger og hva den heter.
 - Om du finner program som ser mistenkelige ut så noter ned "Image path".
 - Lukk Autoruns

- Start opp TCPView(c:\av\Tcpview.exe)
 - Du får da opp oversikt over all aktivitet ut mot internett. Om du har lukket alle kjente programmer så skal denne lista være kort. Det kan være noen igjen som f.eks System.
 - Noter de prosessene som ikke har Remote address lik Local address.
  - Lukk TCPView

- Start opp Process Explorer(c:\av\procexp.exe)
  - Høyreklikk på en av kolonnetitlene og velg Select columns
  - Her velger du PID, Process Name, Company Name, Commandline og Comment
  - Dra Comment helt til venstre.
  - Klikk to ganger på Company Name.
  - Nå har du listen sortert på Company Name som er det samme som Publisher under Autoruns, og du finner som oftest virusene blandt de prosessene med blank Company Name.
  - For å avgjøre om en prossess er virus eller ikke så kan du høyreklikke prosessen og velge Search Online, da finner du som regel raskt ut om dette er en nyttig prosess eller ei.
  - Noter Commandline til alle mistenkelige prosesser.
  - De prosessene du finner er ok dobbeltklikker du og skriver "v" (for huket av ok) i Comment feltet.
  - Når du har kommet gjennom hele lista er det på tide og kjempe tilbake mot virusene
  - Klikk på prosessene du mener er virus og trykk delete.
  - Om du har fått fjernet alle virusene så skal du ha bare igjen prosesser med "v" i comment feltet.
  - Gjenstridige prosesser: Om det er prosesser du ikke får drept på denne måten så må vi gå litt dypere.
    - De gjenstridige prosessene opptrer som oftest i par, slik at når du dreper den ene så sørger den andre for å starte den du drepte på nytt:-(
    - Eksempel på slike prosesser er MediaAcck.exe og Mediaaccess.exe, tilsynelatende umulige og drepe.
    - Har du to slike så ikke drep de, men høyreklikk og velg suspend. Gjør dette for alle gjenstridige prosesser.
    - Når du nå velger prosessene og trykker delete så skal de forsvinne!
 - Du har nå sørget for at det ikke kjører noen virus på maskina.(Kan være at noen skjuler seg i kjente systemprosesser, men vi krysser fingrene)
 - Lukk Process Explorer
 
- Nå er det på tide å sørge for at de ikke starter på nytt når maskina rebootes.
 - Start Autoruns igjen.
 - Fjern haken foran alle prosessene du mistenker er virus. Google de programmene du er usikker på.
 - Åpne utforskeren(explorer, min datamaskin...) trykk ctrl-f og finn frem til avanserte søkemuligheter (i xp er de godt gjemt bak den utrooolig irriterende hunden.)
   - Klikk verktøy - Mappeegenskaper i menylinja.
   - Gå til vis flippen og huk av for: Vis skjulte filer og mapper
   - Fjern avhukingen for Skjul filendelse for kjente filtyper og Skjul beskyttede operativsystem filer
   - Lukk dialogen
   - Høyreklikk på en av kolonnetitlene og huk av forran Opprettet
 - Søk etter en av virus filene.
 - Noter når den ble opprettet.(Dato og klokkeslett)
 - Under avanserte søkemuligheter velger du nå dato og velger fra og til dato lik datoen du noterte, søk igjen.
 - Sorter lista på opprettetdato.
 - Gå gjennom fillista og se om du kjenner igjen flere virusfiler.
 - Slett alle filer som ble opprettet samtidlig som virusfila +-5min (Vis litt skjønn)
 - Er det noen filer du ikke får slettet så åpne process explorer, trykk ctrl-f og skriv inn filnavnet, gå gjennom alle treffene og velg close handle, prøv så og slette fila igjen.
 - Gjenta for alle virusfilene du har notert deg og som du ennå ikke har slettet.
 - Da har du slettet det meste av grums på maskina di!

Start maskina på nytt.
- Start Process Explorer, og sjekk at du bare har prosesser som har "v" som Comment. Om du fremdeles har virus så start fra toppen igjengjen....:-(
- Er du nå virusfri så er det på tide og sikre maskinen litt bedre.
- Start Internet Explorer velg Verktøy og Windows Update(wu). La wu søke etter oppdateringer evt. reboot og start wu på nytt, helt til wu forteller at den ikke finner flere oppdateringer.
- Still inn wu til å installere oppdateringer automatisk.
- Installer/oppdater antivirus og sørg for at den oppdaterer seg automatisk.
- Installer program som fjerner spyware

For at du skal slippe og memorere dette dokumentet så får du noen enkle kjøreregler:
1. Ikke åpne ukjente vedlegg fra epost, mirc, messenger osv.
  - Ett godt tips er og installere spam-filter, som i tillegg til å fjerne spam, fjerner mange eposter med virus-vedlegg!(Bra gratis spamfilter på nett er: http://spambayes.sourceforge.net/)
  - Ett bedre tips er og droppe Outlook og gå over til å bare bruke Gmail som har ett bra spam og virus-filter.
2. Om du får opp melding om at PC'n din er infisert med virus ol. når du surfer på nettet, så er det kun reklame! Ikke klikk neste og installer dritten.
3. Om du får beskjed om og klikke Ok/Yes på en dialogboks når du surfer så klikk på X oppe til høyre i dialogboksen.
(Om du logger på PC'n med en bruker som ikke har administrator rettigheter så slipper du slike plager.)
 - Installer en sikrere nettleser som Firefox(http://www.mozilla.com)
 - Installer popupstopper addon til nettleseren: Adblock Plus(http://adblockplus.org)
4. Om du ønsker og installere ett ukjent program så kjør ett kjapt søk på google først! F.eks om du ønsker og lukte på p2p og lurer på om du skal installere Bearshare eller Emule så kjør to søk på google etter: "bearshare spyware" og "emule spyware" og valget burde være enkelt.

Happy surfin'!

Ove B-)

Særlig på server kan det være viktig og ha korrekt tid.

Enkleste måten og få korrekt tid er og synkronisere klokka med en NTP(Network Time Protocol) server.

En NTP server justerer som regel klokka si vha GPS ol.

En grei åpen NTP server for oss her i norge er: time.flygplats.net, og for å bruke denne så er det bare og lagre teksten under som en .reg fil og kjøre den.

<snip>

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
"NtpServer"="time.flygplats.net"

</snip>

Eller du kan laste den ned.

Etterpå må du kjøre kommandoen:

net stop w32time && net start w32time

for å restarte Windows Time tjenesten.

Ove B-)

Aka: Drag and Alt-Tab in Windows

From time to time I stumble upon small things in windows that makes me go "Aha"

Lately not so often.... Must be me getting more experienced, or Windows less intuitive (ref: Windows Vista:-))

This one is an example where I was distracted when moving some files. 

With my mind elsewhere my fingers knew what to do... Alt-Tab 

So when I looked back on the monitor I got this "Aha-experience"

So the moral is: Don't let your mind get in the way:-)

Ove B-)

Har i det siste hatt ett par tilfeller av at Active Desktop har gått litt i frø etter at server har blitt tatt ned ureglementært.

Active Desktop har krasjet slik at en må kjøre Restore my Active Desktop. Når en gjør det så popper denne feilmeldingen opp:

file:///C:/Documents%20and%20Settings/<username>/Application%20Data/Microsoft/Internet%20Explorer/Desktop.htt - Script error

Den kommer visst nok pga en inkompabilitet mellom IE7 og desktop.htt.

Løsningen er og endre på ett par verdier i registry:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode\Components]
"DeskHtmlVersion"=dword:00000000
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode\General]
"Wallpaper"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,57,00,65,00,62,00,5c,00,53,00,61,00,66,00,65,00,4d,00,6f,\
  00,64,00,65,00,2e,00,68,00,74,00,74,00,00,00
"VisitGallery"=dword:00000000
"ComponentsPositioned"=dword:00000001
 

Kopier teksten over inn i et tekstdokument og lagre den som FixActiveDesktop.reg og kjør reg-filen.

(Kan også lastes ned som zip-fil fra: http://www.wis.no/filer/FixActiveDesktop.zip)

Etterpå høyreklikker du skrivebordet og velger oppfrisk.

mvh

Ove B-)

Kjøpte for ett par år siden en 17" bærbar. Fin og rød, men til tross for at den var hele 17 tommer, så hadde de ikke funnet plass til ett fullt tastatur! Ingen nummertaster:-(

Ikke nok med det, de hadde heller ikke funnet plass til ett vanlig bærbartastatur heller!!!!

De hadde flyttet "§|" tasten ned ved mellomromtasten, og "<>" tasten til høyre for mellomromstasten. Værre var det at Del tasten ikke var oppe til høyre som vanlig. Den var også flyttet ned til høyre for mellomromstasten!

Men aller værst var at Windows-tasten ikke hadde sin vante plass nede til venstre. Den hadde de presset inn helt oppe til høyre!!!!

Krise for en som er helt avhengig av Windows-tasten. Jeg bruker den til å starte alle mine programmer vha Win-R som lar meg kjøre alle mine snarveier.

Dette gjorde at det var kone og barn som fikk bruke PC'en... Helt til harddisken og "<>"-tasten tok kvelden rett før jul.

Da var det dags for reinstallering, og mens jeg satt og reinstallerte og ergret meg som verst over tastaturet, så kom jeg over KeyTweak

ett genialt lite program som lar en flytte rundt på tastene som en måtte ønske:-)

KeyTweak utviklet av en med det klingende navnet: Travis Krumsick

Det var bare og velge Full Teach Mode og trykke fra-tast og til-tast og reboote så var tastene flyttet.

Støtte på noen problemer:

- "<>"-tasten fungerte jo ikke, så for å få til å trykke den i Full Teach Mode så brukte jeg en annen kjekk applikasjon, skjermtastatur som følger med windows. Bare trykk Win-R og kjør osk (On Screen Keyboard)

OSK er en kjekk liten sak om tastatur eller enkelttaster svikter.

- Jeg ønsket også og flytte AltGr, men den og ett par andre taster (Fn, PrtScr, Pause...) går ikke og flytte på denne måten. Det var noe med at de tastene brukte flere ScanBytes enn de to som var vanlig....

- Fikk advarsel om at jeg kunne få problemer med og logge på om jeg flytter Del knappen.  Men siden maskinen var satt opp med autologon så lot jeg det stå til.

Jeg er ikke like dreven som min 1,5 år gamle datter til å plukke av taster, men etter litt fikling så såg tastaturet slik ut:

Ikke helt lett og tyde, men den røde skriften skal vise hva tasten var før. Tasten til høyre for mellomromstasten er død, og tasten jeg ofret på vegne av den døde tasten var meny-tasten, ikke ett stort savn.

Ikke alle tastene var like store så jeg måtte ty til klistrelapper for 4 av tastene. 

Ikke helt perfekt, men jeg har fått tilbake min sårt etterlengtede Windows-tast, og Del-tasten har havnet oppe til høyre, så da kan jeg godt leve med at "<>" og "§|"-tastene havnet litt utenfor allfarvei.

Ove B-)

Opplevde noe snedig på en industripc der musa ble "parkert" oppe til høyre.

Det gikk å dra musa vekk fra hjørnet, men den spratt tilbake ganske kjapt.

Sjekket under Kontrollpanel - Mus - Maskinvare og fant to mus installert.

En USB mus og en COM1 mus.

På COM1 porten var det installert en vekt, drog ut COM1 og musa fungerte fint.

Det snedige er at vekten har blitt brukt tidligere også, men etter litt googling så fant jeg ut at om vekten står på når maskinen booter så får en problemet, for det er kun ved oppstart at maskinen leter etter seriell mus.

Visst nok ett kjent problem med GPS tilkoblet via COM port.

Løsningen var og legge til /fastdetect/NoSerialMouse i boot.ini

Så slik ble min boot.ini:

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP" /fastdetect/NoSerialMouse

Ove B-)