image terug zetten is ook altijd handig, scheelt weer
instalatie en formattering ;)

acronis verricht wonderen

jammer van je data als je een MBR virus hebt :)

Mee eens!

Daarna de 'Linux installatie CD'.

Linux, je weet wel, die software dat gratis is te
downloaden, dat ook geen virussen kent dat in het wild
aanwezig zijn.

Of nee, doe maar Windows, want alleen een ezel stoot
zichzelf twee maal aan dezelfde steen.

Helemaal mee eens. Na een infectie kan je er niet meer
vanuit gaan dat de tools die je vertellen dat alles okay is
nog betrouwbaar zijn. Ik bedoel, ik kan in 1 minuut een
progje maken dat je vertelt dat je computer virus-vrij is.
Dat wil nog niet zeggen dat het waar is!

Ik zeg dat formatteren niet per se hoeft. Alleen moet je op
z'n minst een power user zijn met voldoende verstand om
fatsoenlijk te kunnen beoordelen in wat voor staat je
computer verkeert. Voor de "average Joe Sixpack" geldt de
stelling wel.

Mee eens, Ik ben ook redelijk geshockeerd door te zien dat een aardig
groot percentage geen AV gebruikt.

In mijn optiek zijn AV, PF en antispyware software een absolute must
tegenwoordig.

Gelukkig is dat niet het geval. Van de meeste wormen
(virussen komen nog maar nauwelijks voor) is precies bekend
wat ze aanrichten op een computer en de verwijderprogramma's
werken prima. Bij de release van een nieuwe variant worm kan
het echter wel een tijd duren voordat een goed
verwijderprogramma beschikbaar is.
Ik kan mij trouwens wel voorstellen dat sommige instanties
(denk aan de AIVD en consorten) 0 risico nemen en wel
formatteren mocht het tot een worminfectie komen. Alhoewel,
na die blunders allemaal in het nieuws ;)

Wat een onzin. Sowieso _als_ je dan gaat formatteren, clean
dan ook je MBR. Daar hebben ze het in het artikel nog niet
eens over.

En dan nog, als je in Windows gewoon zorgt dat je register,
win.ini, system.ini, startup folder e.d. allemaal vrij zijn
van opstartende software kan je er wel vanuit gaan dat er
geen zooi meer is dat meestart.

Hang je HDD in een andere PC en scan hem met een degelijke
up-to-date virusscanner.

Als je schijf nu gewoon clean blijkt te zijn moet het gewoon
te vertrouwen zijn imho. Zeker als je ook nog een personal
firewall hebt draaien of een firewall op de / tussen de
gateway en je PC en je ziet dat er geen vreemde data over
het netwerk gaat, waarom zou je dan helemaal gaan formatteren?

Sans ISC raadt dit ook aan. Echter iemand die handmatig
infecties opruimt i.p.v. op verwijder tools vertrouwd kan
ook de meest geniepige rootkits vinden binnen de tijd dat
het kost om de machine opnieuw te installeren.

Ligt dus uiteindelijk helemaal aan de beheerder. Zelfs de
beste rootkits laten sporen achter.

Zowiezo is het verstandig Windows eens in de zoveel tijd te herinstalleren,
dat maakt de boel altijd een stuk sneller!

Kleine notitie. Hoeveel MBR virussen zijn er nog eigenlijk? Het gros zijn
gewoon Windows exploits/scripts

-R.

Als mijn PC gecompromiteerd wordt, betekent het dat ik OF foute software
gebruik OF een foute configuratie gebruik. Ik ga de boel dan natuurlijk niet
formateren, maar onderzoeken.

Wie zegt dat het hier allemaal windows gebruikers betreft ?

Go Back is ook een optie

Klopt. Ik ken iemand die regelmatig een format uitvoert (daarom heeft hij
ook geen virusscanner). En inderdaad wordt het systeem sneller.

De stelling van deze thread gaat inderdaad op bij de compromittering van
een systeem, vooral als er bots en backdoors aanwezig zijn. In sommige
gevallen is het dan inderdaad verstandig om het systeem geheel opnieuw
te installeren.

Bij de meeste mensen die in aanraking komen met virussen, is het vaak
een feit dat als ze eenmaal door hebben dat ze "een virus hebben, dat ze al
reeds geïnfecteerd zijn met meerdere virussen. Voor dit soort mensen is
het "naar mijn mening beter te formateren en alles opnieuw te installeren
dat tijd te steken in het opzoeken naar de talloze problemen waarvan ze
meestal zelf de schuldige zijn.

Zoals al eerder opgenoemd is een image een nog betere oplossing.

Ook als 10% van de bezoekers hier een ander OS gebruikt (wat me ook al
vrij veel lijkt) zijn de percentages nog steeds schrikbarend laag.

idd, een image terugzetten kost minder tijd dan je hardeschijf op virussen
laten scannen. Niet dat ik geen av programma en firewall etc gebruik.
Maar af en toe een image terugzetten en dan weer updaten werkt prima.

Wat anoniempjes:
Ok. Heren anoniem, mijn machine staat bol van de rommel (hypotetisch geval ;), nu ben ik "power user" en ik heb administrator rechten. Hoe denken jullie zo'n machine te gaan controleren?

Bij twijfel (en dat is al heel snel) ben ik er een
voorstander van om alles opnieuw te installeren.

In dat geval vind ik formatteren onvoldoende. Er wordt
daarbij nauwelijks iets op je schijf overschreven. Als
formatteren van een partitie lang duurt komt dat doordat er
van de schijf gelezen wordt om zo "bad sectors" te
vinden en in een tabel op te nemen (een handeling die
nauwelijks zin heeft, als een moderne schijf bad sectors
heeft moet je hem asap vervangen want meestal gaat het snel
van kwaad tot erger).

Als ik de kans krijg overschrijf ik altijd de hele schijf
met nul-bytes, of evt. de partitie, voordat ik een
besturingssysteem installeer. Dat doe ik zeker als er een
vermoeden is van een malware besmetting of als ik de
geschiedenis van een drive niet ken.

Natuurlijk zijn eventuele malware bestanden na formatteren
in principe onbereikbaar. Maar mocht je ooit een "unerase"
programma of andere recovery software nodig hebben, dan is
het mogelijk dat daarbij ook oude bestanden en directories
teruggevonden worden. Bovendien zijn unerase programma's
minder effectief als het -onnodig- een "rommeltje" is op een
schijf.

En hoewel de kans erg klein is, kan bijv. door een
stroomstoring of een software fout (bijv. in defragmentatie
software) het filesysteem zo beschadigd raken dat (delen
van) oude bestanden weer aan de oppervlakte komen.

Mocht je systeem na installatie ooit opnieuw besmet raken en
wil je goed uitzoeken (of laten doen) wat er precies mee
gebeurd is, dan is het ook heel vervelend als op de schijf
sporen "uit een vorig leven" te vinden zijn; datum en tijd
informatie kunnen ontbreken bij teruggevonden gegevens.

Als het vermoeden bestaat dat het systeem gecompromitteerd
is geweest kunnen onbekenden allerlei bestanden op je schijf
hebben geplaatst (meestal onvindbaar voor de eigenaar, bijv.
onder System Volume Information). Dat kan varieeren van
mp3tjes tot kinderporno. Formatteren zal deze bestanden NIET
van je schijf verwijderen; je kunt hooguit het geluk hebben
dat ze naderhand worden overschreven door andere bestanden.
Als dat niet gebeurt, en jouw systeem wordt ooit, om wat
voor reden dan ook, in beslag genomen door justitie en
forensisch onderzocht, dan begrijp je wat de gevolgen kunnen
zijn.

Ten slotte, als je een gecomprimeerde image maakt van alle
sectors van je schijf, wordt die image kleiner als alle
sectors die geen courante data bevatten, geheel met nullen
zijn gevuld.

Erik van Straten

Eric
voor MS-consumers helpt de installatie van een Ubuntu-CD om die hele
schijf schoon te krijgen, dacht ik.
En wat is volgens jou de eventuele rol en impact van bijv. Eraser?

Nie mee eens,

Ik heb router > nod32 av, pestpatrol, en zonealarm pro, kom maar weinig in
aanraking met infecties, en ehh controleer idd mocht het wel gebeuren dat
ik iets oploop nauwlettend het verkeer door de firewall.

Capricornus op dinsdag 24 januari 2006 14:54:
> voor MS-consumers helpt de installatie van een
> Ubuntu-CD om die hele schijf schoon te krijgen

Ik heb nog nooit een besturingssysteem gezien dat tijdens
installatie de schijf bewust geheel overschreef, en
ik vermoed dat ook Ubuntu dat niet doet.

> En wat is volgens jou de eventuele rol en
> impact van bijv. Eraser?

Ik neem aan dat je http://www.heidi.ie/eraser/
bedoelt. Zal vast wel goed zijn, maar hoewel ik behoorlijk
voorzichtig ben, is het m.i. paranoide om je schijf meerdere
keren en met verschillende patronen te overschrijven (ik
vermoed dat je daar op doelt).

Alleen door de drive open te maken en met speciale
uitleesapparatuur te werken (schreeuwend duur en
vermoedelijk zwak bewijs omdat het onderzoek niet op een
kopie kan worden uitgevoerd en wellicht slecht reproduceert)
kan er mogelijkerwijs nog "onderliggende" info teruggehaald
worden. Bij moderne schijven met hoge dichtheid schat ik de
kans op succes ergens tussen minimaal en no way.

Als de kans bestaat dat jouw schijf dusdanig gevoelige info
bevat dat iemand een dergelijk onderzoek zal uitvoeren kun
je de schijf beter vernietigen. Er bestaat bij mijn weten
geen software die, drive-fabrikant-onafhankelijk, eventuele
remapped bad sectors kan overschrijven. Daarnaast zijn in
het verleden ook andere mankementen aan "secure erase"
software gerapporteerd, zoals door Arne Vidström m.b.t.
"HPA" (Host Protected Area) en "DCO" (Device Configuration
Overlay) gebieden op IDE harddrives:
http://seclists.org/lists/bugtraq/2005/May/0125.html.

Als dit onderwerp je interesseert zou ik zeker Arne's
artikel bekijken waarnaar hij vanuit deze post refereert:
http://seclists.org/lists/bugtraq/2005/May/0308.html

Daarnaast moet je meestal een ander besturingssysteem booten
als je een harde schijf wilt wissen. De kans bestaat dat je
dan slechts toegang hebt tot een deel van de schijf en niet
alles gewist wordt. Vaak vermelden harddisks op hun label
het aantal LBA's. Controleer of de erase software ook dit
aantal aangeeft en daadwerkelijk overschrijft.

In deze faq
http://dban.sourceforge.net/faq/index.html
schrijft Darik Horn, de auteur van DBAN, wat vermoedelijk
voor al dit soort "secure wipe" programma's geldt:
Q: Are you absolutely sure that DBAN works
properly?
A: No.

Maar als iemand zich prettiger voelt bij 5x overschrijven:
ga gerust je gang!

Erik van Straten

In de jaren dat ik achter een pc heb gezeten is het mij maar
1 keer overkomen dat ik een virus had en dat heb ik gelijk
afgeleerd.
Als zware internet en game user met alle praktijken van dien
en een RAID 0 Array, heb ik 2 dingen ontdekt.

- Gebruik goede software (Avast antivirus en Hitman Pro
Spyware removal)
- Kijk gewoon uit met wat je doet, sponsored-site=fout, simpel!

Ctrl+z, en je virus is de wereld uit... :P toch?!? niet dan??

Leuke stelling, maar ik heb laatst problemen gehad met
Newheur_PE, en daar ben je toch nog es eventjes zoet mee,
zelfs na de format.

Het gaat toch over virussen!

Je kunt bij het werken binnen een 'virusveilige' omgeving ( aplicatie die jij
veilig vind b.v. spel of visual studio of whatever als jij het maar veilig vind! )
de virusscanner en andere scanners uitschakelen naar believen eventueel
ingesteld met tijd! Je haalt je winst dan als je het nodig hebt. Laten we
eerlijk zijn, eigenlijk is zo,n pc een werkpaard die je veel kunt laten
rekenen. En ja het ding rekend en berekend nu wel maar ja wat?, virussen
constant scannen, firewall die de hele tijd aanstaat en meer van dit soort
ongein. Dat wil natuurlijk niet zeggen dat je zonder al dit soort toestanden
kunt, maar het is ook niet nodig dat alles 24/7 aanstaat!( vind ik)
Inderdaad is er enige winst maar ook weer niet zoveel dat ik het van de
daken wil schreeuwen, b.v. streaming loopt wat vloeiender en een game
vertoond minder artefacts. Zal eens test doen met 3dMark wie weet
eenpaar puntjes meer? En voor de nOOb zou ik al gauw zeggen, Laat
maar aanstaan want straks vergeet je het weer aan te zetten en dan
hebben we dat weer!
Mark