Vi har alle vært der - du får en advarsel fra virusskanneren, advarsel om at en bestemt fil er infisert. Noen ganger vises varselet selv etter at du har fortalt antivirusskanneren for å fjerne infeksjonen. Eller kanskje du bare har grunn til å tro at virusvarselet kan være en falsk positiv. Her er seks ting du vil vurdere å bestemme hvordan du håndterer en mistenkelig eller tvilsom virusvarsel.
Plassering, plassering, plassering
Som med fast eiendom kan plasseringen av det som oppdages, ha et kritisk lager. Hvis du får gjentatte varsler om samme infeksjon, kan det skyldes ikke-aktiv malware som er fanget i systemgjenopprettingsmappene eller en rest i en annen plassering som utløser varselet.
- Slik fjerner vi virus fra systemgjenoppretting
- Slett midlertidige Internett-filer og informasjonskapsler
- Fjern Internett-historikkmappen
Opprinnelse: Fra hvor den kommer
Akkurat som med sted, kan opprinnelsen til filen bety alt. Høyrisiko-opprinnelse inkluderer vedlegg i e-post, filer lastet ned fra BitTorrent eller et annet filharing-nettverk, og uventede nedlastinger som følge av en kobling i e-post eller direktemeldinger. Unntak ville være filer som passerer Formålet testen beskrevet nedenfor.
Formål: Ønsket du det, trenger det, forventer det?
Formålet testen koker ned til et spørsmål om hensikt. Er dette en fil du forventet og trenger? Enhver fil som lastes ned uventet, bør betraktes som høy risiko og sannsynlig skadelig. Hvis det ikke ble lastet ned uventet, men du ikke trenger filen, kan du redusere risikoen ved å bare slette den. Å være selektiv om hva du tillater å kjøre på systemet, er en enkel måte å redusere risikoen for virusinfeksjon (og unngå å svekke systemytelsen med unødvendige programmer). Men hvis filen ble avsiktlig lastet ned og du trenger den ennå, blir den fortsatt flagget av antivirusprogrammet ditt, så er det bestått Formålet testen, og det er på tide for en annen mening.
04 av 06SOS: Second Opinion Scan
Hvis filen passerer stedssted, opprinnelse og formål, men antivirusskanneren fortsatt sier at den er infisert, er det på tide å laste den opp til en nettleser for en annen mening. Du kan sende filen til Virustotal for å få den skannet av over 30 forskjellige malware skannere. Hvis rapporten angir at flere av disse skannerne tror at filen er infisert, ta sitt ord for det. Hvis bare en eller svært få av skannerne rapporterer en infeksjon i filen, er det to ting mulig: det er virkelig en falsk positiv eller det er skadelig programvare som er så nytt det ikke er hentet opp av de fleste antivirusskannere.
05 av 06Søker etter MD5
En fil kan bli navngitt noe, men en MD5 sjekksum sjelden ligger. En MD5 er en algoritme som genererer en formodentlig unik kryptografisk hash for filer. Hvis du brukte Virustotal for den andre opinionen skanningen, nederst i rapporten, ser du en seksjon med tittelen "Tilleggsinformasjon." Litt under det er MD5 for filen som ble sendt inn. Du kan også skaffe MD5 for en hvilken som helst fil ved hjelp av et verktøy som gratis Chaos MD5 fra Elgorithms. Uansett hva du velger å skaffe MD5, kopier og lim MD5-filen til filen i din favoritt søkemotor og se hvilke resultater som vises.
06 av 06Få ekspertanalyse
Hvis du har fulgt alle trinnene ovenfor og fortsatt ikke har tilstrekkelig informasjon for å hjelpe deg med å avgjøre om virusvarselet er ekte eller en falsk positiv, kan du sende filen (avhengig av filstørrelse) til en nettbasert atferdsanalysator. Vær oppmerksom på at resultatene fra disse atferdsanalysatorene kan kreve et høyere nivå av kompetanse for å tolke. Men hvis du har kommet så langt i trinnene, er sjansene at du ikke har noen problemer med å dechifrere resultatene!
- PC Tools ThreatExpert
- Sunbelt Software CWSandbox
