Virus infectie vinden en verwijderen met c’t-rescue Windows

Noud van Kruysbergen
0

Een van de belangrijkste taken van een rescuesysteem is en blijft de jacht op virussen, we laten je zien hoe je c’t rescue Windows en de verschillende virusjagers kunt gebruiken, die variëren van snelle tests tot grondige analyses, in dit artikel behandelen we het vinden van infecties.

De eenvoudigste manier om van een virusaanval af te komen is door de interne gegevensdrager te wissen en een back-up terug te zetten die vóór de virusaanval is gemaakt. Maar niet iedereen heeft daadwerkelijk ook zo’n back-up gemaakt. In dat geval blijft er bij een vermoeden van een virus vaak niets anders over dan ze op te sporen.


virus infectie windows


Met c’t-rescue een virus infectie vinden in Windows

Het voordeel van c’t-rescue-Windows is dat Windows-gebruikers zich in geval van nood niet vertrouwd hoeven te ­maken met een nieuw besturingssysteem. De rescue-­Windows heeft in totaal drie virusscanners aan boord. Die starten vanaf de stick in een schoon besturings­systeem. Daardoor kunnen ze de geïnfecteerde installatie op de interne gegevensdrager scannen zonder dat malware de kans krijgt dit te saboteren – de malware is immers niet actief.

Helaas neemt een grondige virusscan veel tijd in beslag – soms uren, afhankelijk van de hardware en de hoeveelheid te scannen bestanden. Maar met ons rescue­systeem kun je ook een soort snelle virustest doen. Die is lang niet zo grondig en als er geen ­malware wordt ontdekt, kan die toch aanwezig zijn.

Maar als je iets ongewoons ontdekt, weet je in elk geval dat een grondige zoektocht met de virusscanner de moeite waard is. De truc: het programma Autoruns kan alle autostart-items van de Windows-­installatie door­zoeken en ze in één keer door meer dan 70 scanners laten controleren.


Ontvang gratis meer workshops over herstelwerkzaamheden in voor Windows!

Schrijf je in voor de nieuwsbrief:


Idealiter gebeurt dat zeer snel, omdat Autoruns alleen hashwaarden voor de uitvoerbare bestanden uploadt naar Virustotal.com. Dat is een dienst van Google. Als de hashes daar onbekend zijn, moet je een te controleren bestand uploaden.

Je kunt een dergelijke controle ook starten voor andere individuele bestanden met de rescue-­Windows. Kies daarvoor ‘Send to / sigcheck.bat’ in het contextmenu van een verdacht bestand.

Sigcheck is ook een programma van Sysinternals.

  1. Ten eerste controleert het de handtekening van het bestand,
  2. Het maakt verschillende checksums aan (MD5, SHA1, SHA256 …)
  3. Het uploadt een hashwaarde naar VirusTotal.

De uitkomst van dat ­alles verschijnt in een opdrachtpromptvenster. Het oogt niet fraai, maar in een noodgeval zijn er belangrijkere ­dingen.

Wat betreft het interpreteren van de resultaten: in wezen geldt hetzelfde als bij Autoruns. Als het bestand ondertekend is door een bekende aanbieder en geen enkele virusscanner iets te klagen heeft, is het waarschijnlijk ongevaarlijk. Maar we benadrukken nogmaals dat er geen garantie is dat dit werkelijk zo is. Indien de handtekening daarentegen ontbreekt of ongeldig is, moet je extra opletten.

De voorbereidingen voor deze acties lees je in: Virus zoeken met c’t-rescue Windows – scan je pc

DEEL 2

Virus infectie zoeken in Windows…

  1. Start de rescue-Windows en identificeer de Windows-partitie op de harde schijf.
  2. Belangrijk: voordat je een scanner start, moet je controleren of er een netwerkverbinding is.
  3. Voer de scanners na elkaar uit (!) – zie de volgende instructies. De volgorde doet er daarbij niet toe. Start voor elke volgende scan het rescuesysteem opnieuw op en begin opnieuw bovenaan bij ‘Virussen zoeken …’.

Virus infectie zoeken met Defender Offline

  1. Ten eerste: Defender kan alleen Windows-installaties controleren die dezelfde architectuur hebben als de rescue-Windows, oftewel ze moeten beide 32-bit of 64-bit varianten zijn. Als dat niet het geval is: gebruik de andere scanners.
  2. Start Defender via het startmenu. Het programma begint meteen met het scannen naar virussen. Annu­leer de scan door te klikken op ‘Cancel scan’.
  3. Klik op ‘Update definitions’ op het tabblad Update. Wacht tot de nieuwe virusdefinities geladen zijn.
  4. Selecteer op het tabblad Home onder ‘Scan options’ de optie Custom en klik op ‘Scan now’.
  5. Selecteer de stations die je wilt scannen, klik op OK en de virusscan zal beginnen.

… met Eset Online Scanner

  1. Wacht na het opstarten van de recue-Windows tot de netwerkconfiguratie is voltooid (te herkennen aan het betreffende venster). Start dan Eset via het startmenu. Klik op ‘Aan de slag’ en accepteer de gebruiksvoorwaarden. Kies de opties voor kwaliteitsverbetering en Detectiefeedbacksysteem en klik op Doorgaan.
  2. Kies welke scan je wilt uitvoeren: een volledige, snelle of aangepaste scan’. Bij de aangepaste scan selecteer je eerst welke schijven je wilt laten scannen. Je kunt daarbij ook de autostart-locaties en het werkgeheugen laten scannen. Klik daarna op ‘Opslaan en doorgaan’.
  3. Daarna kun je er bij alle scantypen voor kiezen om ongewenste toepassingen te laten detecteren en in quarantaine te laten zetten. Let op: bestanden in quarantaine worden verwijderd wanneer de rescue-­Windows afgesloten wordt.
  4. Klik op de link ‘Geavanceerde instellingen’ en controleer de instellingen. Klik op de terug-knop bovenaan.
  5. Klik daarna op ‘Scan starten’ om het scannen te ­laten beginnen.

… met Trend Micro HouseCall

  1. Start Trend Micro via het startmenu. Klik op Next om de privacyvoorwaarden te accepteren en accepteer bij de volgende dialoog de licentievoorwaarden en klik weer op Next.
  2. klik op de link Settings. Schakel op het tabblad Smart Feedback desgewenst het selectievakje ‘Enable Trend Micro Smart Feedback’ uit.
  3. Selecteer bij de Instellingen op het tabblad Scan Type de optie ‘Custom scan’, zet een vinkje voor de te scannen stations en bevestig met OK.
  4. Klik dan op de grote knop Scan Now om het scannen te laten beginnen.

Virus infectie

  1. Beslis wat je wil doen met eventueel geïnfecteerde bestanden in quarantaine: in quarantaine houden, verwijderen of negeren. Let op: de quarantaine wordt verwijderd als de rescue-Windows afgesloten wordt!
  2. Upload een geïnfecteerd bestand met de browser Fire­fox naar VirusTotal.org voor een meer gedetailleerde analyse.
  3. Kopieer desgewenst het geïnfecteerde bestand naar een veilige plaats voor verder onderzoek, verpak het bij voorkeur in een met een wachtwoord beveiligd zipbestand dat is gemaakt met 7-Zip (dat in het startmenu bij ‘All programs / Utilities’).
  4. Verwijder het geïnfecteerde bestand.

Na het vinden van een virus infectie in Windows

  1. Controleer het hosts-bestand met het rescue­systeem (C:Windows\System32\drivers\etc). Klik met de rechtermuisknop om het te openen met Note­pad, en zet vervolgens een commentaarteken (#) voor onbekende regels of verwijder die.
  2. Controleer op een 64-bit systeem of er een ander bestand met de naam hosts is in C:\Windows\SysWOW64\drivers. Behandel dat op dezelfde manier.
  3. Start de geïnstalleerde Windows.
  4. Controleer de firewall, de virusscanner, de plug-ins van de browsers en mailclient, de proxy-instellingen van Windows, de browser en mailclient.
  5. Breng op dat moment pas een netwerkverbinding tot stand.
  6. Updaten: Windows Update, virusscanner, browser, mailclient, pdf-reader.
  7. Verwijder indien aanwezig: Flash. Als Java over­bodig is: ook verwijderen.
  8. Controleer indien mogelijk de netwerkshares, autostarts en lopende processen.

 


(Deze informatie is afkomstig uit het artikel van Axel Vahldiek en Noud van Kruysbergen, en verscheen eerder in c’t 4, 2022, p42)


 

Meer praktische instructies voor Windows: c't magazine mei/2022

Meer over

Malware

Deel dit artikel

Lees ook

Problemen met pc oplossen: opstarten van c’t-rescue-Windows usb

Voor het oplossen van problemen op de pc begin je met het opstarten van het systeem vanaf de c't-rescue-Windows usb-stick.

Test hardware van de pc – zo scan je het systeem met c’t-rescue

Als een Windows-pc niet goed werkt kan dat aan de hardware liggen, met deze test worden de problemen duidelijk na een scan met c’t-rescue-Windows.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er