Till startsidan för Jonas Webresurs!

Hitta trojanerna i din dator

1. Inledning
2. Hitta trojanerna i din dator
3. Länkar

1. Inledning

Den här sidan handlar om hur du hittar trojaner i din dator, oavsett om du har ett virusskydd installerat eller inte.

Det bästa sättet att hitta trojaner på är att ha ett bra virusskydd på din dator. På sidan med säkerhetslänkar hittar du bra program. Det är sedan viktigt att uppdatera detta program minst en gång i veckan, för att undvika att nya trojaner slinker igenom.

Men även om man har ett bra skydd kan det vara lämpligt att kontrollera så att datorn är ren. I synnerhet gäller detta den som har en snabb uppkoppling mot Internet och kanske också använder datorn för sin privatekonomi eller något annat viktigt.

Sidan beskriver var de vanligaste trojanerna finns och hur du lokaliserar dem. Jag har utgått ifrån Windows, som är det vanligaste operativsystemet för trojaner.

Känner du dig osäker på vad trojaner är skall du först läsa sidan "Mer om trojaner". Läs mer >

2. Hitta trojanerna i din dator

Som du vet finns det olika slags trojaner. Det betyder att de gör olika saker, men också att de finns på olika ställen på datorn. Här skall jag visa hur du söker igenom datorn efter de viktigaste.

Hitta trojanerna i din dator: Autostart-mappen

a) Autostart

Ett vanligt sätt att få igång en trojan är att placera den i den mapp som heter Autostart. Du hittar den under Start-knappen - Program - Autostart.

Du kan också söka dig fram till den via Den här datorn och dubbelklicka på hårddisken, som heter C: - om du bara har en disk.

Hitta trojanerna i din dator: Autostart-mappen Dubbelklicka på Windows-mappen och sedan på Start-menyn.

Gå in i Program-mappen och därefter i Autostart.

I min Autostart-mapp låg följande genvägar, som du ser på bilden, men ingen av dem är någon trojan.

Hur vet man vilka program som skall finnas i mappen? Ja, först och främst känner man ju igen de vanligaste, samt att trojaner/virus inte sällan heter något i stil med "Trojan" eller "Worm" - eller har namn som ser allmänt konstiga ut.

Man kan också högerklicka på den genväg man känner sig osäker på och välja fliken Version.

Här kan man leta sig igenom listan för att se vad det är för program genvägen hänvisar till:

Hitta trojanerna i din dator: Egenskaper för en genväg i Auotostart-mappen

b) Windows Initialization

Hitta trojanerna i din dator: WIN.INI-filen I datorn finns en "Windows Initialization"-fil (win.ini) var syfte är att sätta igång operativsystemet och dess inställningar. Filen är en vanlig textfil och går att skriva om så att även andra program startas.

win.ini hittar du också i Windows-mappen. Filen går att öppna i en vanlig texteditor, som Anteckningar. Innehållet är sorterat efter olika kategorier, vars rubriker ramats in med klamrar. Den del du skall titta i heter [windows].

Så här ser en frisk fil ut:

[windows]
run=
NullPort=None
NetWarn=0
device=Brother HL-1450 series,BROHL01A,BRUSB:

Så här kan en sjuk fil se ut:

[windows]
load= trojan
run= trojan.exe
NullPort=None
NetWarn=0
BaseCodePage=1256

Ta bort allt som står efter load= och run= så startas inte trojanen.

c) System Initialization

En annan systemfil är system.ini, som finns på samma ställe, nämligen i Windows-mappen. Normalt kan den se ut så här när den öppnas:

[boot]
shell=Explorer.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
o.s.v.

En smittad fil kan se ut på följande sätt:

[boot]
shell=Explorer.exe trojan.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe

Trojanen kommer alltså att startas efter det att Explorer (Windows filhanterare) har startats. Ta bort texten "trojan.exe" så slipper du i alla fall att trojanen startas.

När en trojan lokaliserats på detta sätt kan du leta upp den på datorn via Start-knappen och sök. Leta på ordet "trojan" eller trojanens namn.

d) Registernycklar

Detta var tre enkla sätt att starta trojaner på. Dessvärre finns det också några mer komplicerade sätt, där trojanerna ligger gömda och startas dolda. Samtliga innebär att man går in i Windows register och gör ändringar där.

Vad är registret?
Registret har funnits sedan Windows 95 och är ett ställe för att lagra information om operativsystemet. Det kan vara vilken hårdvara som finns ansluten till systemet, vilka inställningar som finns för skärmens upplösning, minnestilldelningar, vilka program som finns installerade och vilka filer de ansvarar för, osv.

Man skulle lite förenklat kunna säga att win.ini och system.ini är till för att få igång systemet. Sedan söks registret igenom och andra filer startas, parametrar läses in och diverse inställningar görs för att optimera systemet.

Det är här man kan lägga in kommandon om att trojaner och andra program skall startas. Normalt sett uppdateras registret när man installerar en ny hårdvara eller program. Inställningarna man gör i Kontrollpanelen påverkar också registret. Får man en smittad fil via e-posten och öppnar den, kan alltså registret påverkas. Laddar man hem ett smittat program och installerar det, kan också en trojan följa med om man är oförsiktig.

För att hitta trojaner i registret bör man först ha en liten aning om hur det fungerar. Det kan du läsa mer om på sidan om Registret i Windows. Läs mer >

Det skall dock sägas att man inte går in i registret som nybörjare. Att "hacka" sig in i registret gör man alltså helt på egen risk.

Hackers som vill ställa till med bus och har full tillgång till din dator kan givetvis ställa till med vad som helst. Men vanliga registerhack är att ändra DWORD-värden från noll till ett - eller tvärtom. Det kan t.ex innebära att du inte längre kan högerklicka, inte ändra lösenord, inte kan dela filer med andra användare, inte kan ändra inställningarna för bildskärmen, osv.

En annan metod är att aktivera Autostart och den vägen få registret att antingen uppdateras med nya inställningar (t.ex om man placerar en REG-fil i autostartmappen) eller startar andra program.

Man kan också skriva in autostartfunktioner i registret som gör så att vissa program startas. Här är olika sätt jag hittade på en hackersida:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] "Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] "Info="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Info"="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Info"="c:\directory\Trojan.exe"

Trojanen startar alltså förutsatt att directoryn (sökvägen till filen) är den som anges. Trojanen kan heta i princip vad som helst, men är i det här fallet alltid en körbar fil, dvs ett program. Vad det i sin tur gör kunde du läsa om på sidan om trojaner.

Vanligt är alltså att man går in och gör inställningar för datorn, HKEY_LOCAL_MACHINE, eller för användaren, HKEY_CURRENT_USER. Det finns dock andra sätt att placera trojaner på. Man kan t.ex gå in i HKEY_CLASSES_ROOT och där göra ändringar som startar varje gång man öppnar en viss filtyp. Trojanen går då också att dölja genom att användaren faktiskt öppnar en fil och inte märker att trojanen också startas.

3. Länkar

Jag har hittat mycket information på följande sajter:

På Microsofts TechNet finns mer info om hur registret fungerar: www.microsoft.com/technet/default.asp

Whatis.com: whatis.techtarget.com

Hackersamfundet Astalavista brukar också posta en del nybörjarinfo om hur hackers gör för att bryta sig in i system: www.astalavista.com

Du hittar fler länkar till virusskydd och säkerhetssajter på sidan "Säkerhetslänkar". Läs mer >

Den här sidan är en del av Jonas Webresurs - www.jonasweb.nu - copyright © 1998-2011