Virus zoeken met c’t-rescue Windows – scan je pc

Noud van Kruysbergen
1

Een van de belangrijkste taken van een rescuesysteem is en blijft de jacht op virussen, we laten je zien hoe je c’t rescue Windows en de verschillende virusjagers kunt gebruiken, die variëren van snelle tests tot grondige analyses, en hiermee een virus te zoeken. We beginnen met de voorbereidingen en sneltests.

De eenvoudigste manier om van een virusaanval af te komen is door de interne gegevensdrager te wissen en een back-up terug te zetten die vóór de virusaanval is gemaakt. Maar niet iedereen heeft daadwerkelijk ook zo’n back-up gemaakt. In dat geval blijft er bij een vermoeden van een virus vaak niets anders over dan ze op te sporen.


virus zoeken windows


Virus zoeken met c’t-rescue Windows

Het voordeel van c’t-rescue-Windows is dat Windows-gebruikers zich in geval van nood niet vertrouwd hoeven te ­maken met een nieuw besturingssysteem. De rescue-­Windows heeft in totaal drie virusscanners aan boord. Die starten vanaf de stick in een schoon besturings­systeem. Daardoor kunnen ze de geïnfecteerde installatie op de interne gegevensdrager scannen zonder dat malware de kans krijgt dit te saboteren – de malware is immers niet actief.

Helaas neemt een grondige virusscan veel tijd in beslag – soms uren, afhankelijk van de hardware en de hoeveelheid te scannen bestanden. Maar met ons rescue­systeem kun je ook een soort snelle virustest doen. Die is lang niet zo grondig en als er geen ­malware wordt ontdekt, kan die toch aanwezig zijn.

Maar als je iets ongewoons ontdekt, weet je in elk geval dat een grondige zoektocht met de virusscanner de moeite waard is. De truc: het programma Autoruns kan alle autostart-items van de Windows-­installatie door­zoeken en ze in één keer door meer dan 70 scanners laten controleren.


Ontvang gratis meer workshops over herstelwerkzaamheden in voor Windows!

Schrijf je in voor de nieuwsbrief:


Idealiter gebeurt dat zeer snel, omdat Autoruns alleen hashwaarden voor de uitvoerbare bestanden uploadt naar Virustotal.com. Dat is een dienst van Google. Als de hashes daar onbekend zijn, moet je een te controleren bestand uploaden.

Je kunt een dergelijke controle ook starten voor andere individuele bestanden met de rescue-­Windows. Kies daarvoor ‘Send to / sigcheck.bat’ in het contextmenu van een verdacht bestand.

Sigcheck is ook een programma van Sysinternals.

  1. Ten eerste controleert het de handtekening van het bestand,
  2. Het maakt verschillende checksums aan (MD5, SHA1, SHA256 …)
  3. Het uploadt een hashwaarde naar VirusTotal.

De uitkomst van dat ­alles verschijnt in een opdrachtpromptvenster. Het oogt niet fraai, maar in een noodgeval zijn er belangrijkere ­dingen.

Wat betreft het interpreteren van de resultaten: in wezen geldt hetzelfde als bij Autoruns. Als het bestand ondertekend is door een bekende aanbieder en geen enkele virusscanner iets te klagen heeft, is het waarschijnlijk ongevaarlijk. Maar we benadrukken nogmaals dat er geen garantie is dat dit werkelijk zo is. Indien de handtekening daarentegen ontbreekt of ongeldig is, moet je extra opletten.

DEEL 1 – Virus zoeken met c’t rescue voor Windows

Voorbereidingen voor de virusscan

  1. Is je Windows-installatie momenteel actief? Als er ook maar de geringste verdenking is van een af­persingstrojan: schakel de computer onmiddellijk hard uit! Vervolgens start je op met de rescue-­Windows en red je alle bestanden die nog niet versleuteld zijn.
  2. Anders: laat de op de interne gegevensdrager geïnstalleerde Windows draaien, maar verbreek alle netwerk­verbindingen.
  3. Open Verkenner, kies Eigenschappen in het contextmenu van de Windows-partitie, klik op Schijfopruiming om de gegevensdrager op te ruimen. Klik op ‘Systeembestanden opruimen’, vink alle vakjes aan en bevestig met OK.
  4. Leeg de browsercache. Firefox: ‘Instellingen/ Pri­vacy & Beveiliging / Gegevens wissen’. Edge: klik in het driepuntsmenu op ‘Instellingen / Privacy, zoeken en services / Browsergegevens wissen / Kiezen wat u wilt wissen’. Chrome: druk op Ctrl+Shift+Del, verander de Periode in Alles en klik dan op ‘Gegevens wissen’.
  5. Leeg de prullenbak en spammap van de mailclient.

Virussneltest met Autoruns

  1. Start de rescue-Windows, breng een netwerkverbinding tot stand en identificeer de Windows-partitie op de harde schijf (zie het vorige artikel).
  2. Start Autoruns via het startmenu.
  3. Je kunt de lopende scan annuleren door op de Esc-toets te drukken.
  4. Klik op Scan Options in de menubalk onder Options. Plaats een vinkje voor Check VirusTotal.com. Klik op Rescan. Accepteer de licentiedialoog.
  5. Klik in de menubalk op File en op Analyze Offline System. In het dialoogvenster selecteer je achter System Root het pad naar de Windows-map (normaliter C:\Windows), achter User Profile het pad naar het gebruikersprofiel (C:\Users\<accountnaam>).
  6. Kijk na het scannen in de kolom VirusTotal (scroll het scherm indien nodig naar rechts): als 0/70 wordt weergegeven na een Autostart-vermelding, hebben nul scanners iets gevonden. Het getal achter de schuine streep is het aantal gecontroleerde scanners en varieert – het getal vóór de schuine streep is doorslaggevend. Als dat iets anders dan 0 is, is dat belangrijk: bij 1 is het waarschijnlijk vals alarm, bij 2 of 3 kan dat ook zo zijn. Bij hogere getallen is een grondige virusscan echter wel aan te raden.
  7. Als er verschillende gebruikersaccounts worden gebruikt op de pc, herhaal je dit voor de andere gebruikers­profielen (vanaf stap 5).
  8. Let op bij parallelle Windows-installaties: Autoruns levert alleen bruikbare resultaten als de Windows-­versie die met het rescuesysteem wordt onderzocht dezelfde stationsletter heeft als bij normaal gebruik. Anders zullen verwijzingen naar automatisch startende programma’s die door Autoruns worden uitgelezen, niet juist zijn. Indien nodig kun je de stationsletter wijzigen met Disk Management.

Je kunt een snelle test doen met Autoruns. Die is veel minder betrouwbaar dan een grondig virusonderzoek met de scanners van de rescue-Windows. Maar je zult sommige dingen veel sneller vinden, zoals het Eicar testvirus dat we hier op een testsysteem hebben gezet.


Virussneltest met Sigcheck

  1. Start de rescue-Windows, breng een netwerkverbinding tot stand, identificeer de Windows-partitie op de harde schijf (zie het vorige artikel).
  2. Selecteer het verdachte bestand in Verkenner, klik op ‘Send to / sigcheck.bat’ in het contextmenu. De uitvoer verschijnt in een opdrachtprompt-venster.
  3. Controleer de regel Verified: Signed duidt op betrouwbaarheid. Al het andere is een alarmsignaal, vooral als het bestand geacht wordt afkomstig te zijn van een groot bedrijf als Microsoft of Google. Dat geldt zowel voor Unsigned als voor een bestaande handtekening die als onbetrouwbaar wordt geclassificeerd. Dat kan zijn omdat de digitale handtekening niet kan worden bevestigd, een certificaat door een uitgever is ingetrokken of er geen certificaatketen tot stand kan worden gebracht naar een vertrouwde basiscertificeringsautoriteit.
  4. Als het resultaat in de regel ‘VT detection’ 0/72 is, heeft geen enkele scanner iets gevonden. Het getal achter de schuine streep is het aantal betrokken scanners en varieert, het getal vóór de schuine streep is doorslaggevend. De link naar de pagina met de resultaten van de scan staat op de regel daaronder. Je kunt die zoals gewoonlijk met de muis selec­teren, naar het klembord kopiëren met Ctrl+C en op de adresregel in Firefox plakken.

Lees verder in het artikel: Virus infectie vinden en verwijderen met c’t-rescue Windows


(Deze informatie is afkomstig uit het artikel van Axel Vahldiek en Noud van Kruysbergen, c’t 4, 2022, p42)


 

Meer praktische instructies voor Windows: c't magazine mei/2022

Meer over

Malware

Deel dit artikel

Lees ook

Problemen met pc oplossen: opstarten van c’t-rescue-Windows usb

Voor het oplossen van problemen op de pc begin je met het opstarten van het systeem vanaf de c't-rescue-Windows usb-stick.

Test hardware van de pc – zo scan je het systeem met c’t-rescue

Als een Windows-pc niet goed werkt kan dat aan de hardware liggen, met deze test worden de problemen duidelijk na een scan met c’t-rescue-Windows.

1 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
oldwizzy
Lezer
oldwizzy

Vergeet Windows Backup & Restore, dit is van begin af aan een RAMP geweest. Herstel hiervan duurde altijd uren en dan was het nog de vraag of alles wel goed hersteld was, meestal niet en kon je opnieuw beginnen met installeren. Sinds Windows 7 pas ik deze strategie toe: Stap 1, Systeem backup Er bestaat een freeware tool die “AOMEI backupper” heet, waar je heel veel mee kunt doen. Zelfs een (systeem)backup naar een NAS of ander type server is mogelijk, of een HD of wat dan ook. Het aanmaken van een opstart Stick of CD, het kan allemaal gewoon.… Lees verder »