Als er sprake is van versleutelde bestanden zou ik wel naar een echt ter zake kundige stappen (bijv. Ontrack Data Recovery). Denk erom dat er veel prutsers rondlopen die, vaak met de beste bedoelingen, meestal meer kwaad doen dan goed. Stap je naar een professionele data recovery service, vraag dan als eerste om een vrijblijvende prijsopgave!
Als het puur om het verwijderen van "nare" (lastig detecteerbaar, rootkit etc) malware gaat ben ik het eens met Insider. Als je een computerprofessional inhuurt voor zoiets, kost dat bakken met geld en daarbij is de kans groot dat hij/zij niet al het aangerichte kwaad kan verwijderen (bijv. toegevoegde https certificaten, BHO's, gewijzigde registerinstellingen, malware in Alternate Data Streams etc.) en je binnen de kortste keren weer actieve malware op je PC hebt.
Als er sprake is van geavanceerde malware is bijna forensisch onderzoek nodig om vast te stellen wat er onbedoeld op de PC is veranderd. Tenzij er verschikkelijk veel tijd in gestopt wordt, is kans dat een "computerprofessional" alles vindt, zo goed als nul. Een
echte computerprofessional zal doen wat ik hieronder beschrijf. En dat kun veel mensen zelf, vraag anders een ervaren familielid of vriend om hulp.
(1) Maak een file-based-backup van de belangrijkste bestanden (niet met een backupm programma, maar slepen met verkenner op een externe schijf en vermijd daarbij uitvoerbare bestanden. Als je versleutelde bestanden hebt, zet die dan in een aparte map op de backupschijf. Vergeet niet bijv. de database van wachtwoordkluisprogramma's (zoals KeePass) te backuppen. Als je een beetje verstand hebt van Linux, kun je dat backuppen het veiligste doen opgestart vanaf een betrouwbare live CD met bijv. Ubuntu of Knoppix. Er ligt bijna altijd wel een computertijdschrift met een Linux live CD in de tijdschriftenwinkels voor ca. 7 tot 15 Euro.
(2) Deze stap kun je eventueel overslaan, maar is wel aan te raden. Download op een vertrouwde PC een image van een bootable antivirus pakket, bijv.
http://support.kaspersky.com/viruses/rescuedisk (of check
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/ voor alternatieven) en brand deze op een CDROM of maak er een bootable USB stick van. Stop die in je PC, zorg dat de PC daarvan opstart en laat de PC helemaal scannen en eventuele malware verwijderen. Ik zet dit als stap 2 omdat er een kans bestaat dat je PC hierna niet meer vanaf de schijf wil opstarten, en dan is het niet meer mogelijk een backup te maken. Start de PC nog wel op, dan kun je nogmaals een backup maken op de externe schijf. Naar keuze kun je een tweede backup (in aparte map) maken, of de oude weggooien en een geheel nieuwe backup maken.
(3) Sluit die externe schijf aan op een vertrouwde computer die volledig gepatched is en van up-to-date antivirus is voorzien. Scan de externe schijf, nog aangesloten op de vertrouwde PC, volledig met de aanwezige virusscanner, bij voorkeur met tijdelijk de meest uitgebreide checks aangezet (alle bestandstypes scannen, ook in archives etc). Ik zou de scanner tijdelijk zo instellen dat deze alleen meldt en eventueel repareert, maar verdachte bestanden niet in quarantaine zet en zeker niet verwijdert. Pak alle versleutelde bestanden uit en laat ook die scannen.
(4) Als er verdachte bestanden zijn kun je een alternatieve virusscanner downloaden en daar nog eens mee scannen, of de individuele verdachte bestanden uploaden naar Virustotal om false positives te helpen uitsluiten. Als twee of meer virusscanners alarm slaan zou ik uitgaan van infectie, anders is de kans op een false positive groot. Als het geen superbelangrijke bestanden zijn, gooi ze dan weg. Verdachte bestanden kun je over het algemeen redelijk veilig openen in bijv. een Open Office op een Linux live CD. Als je ze exporteert naar een ander format (bijv. een oudere MS Office versie), is de kans groot dat eventuele malware niet meekomt. Scan de nieuwe bestanden daarna nogmaals.
(5) Als je erg paranoïde bent kun je de BIOS van je PC resetten en/of opnieuw flashen (download de laatste BIOS voor je PC op een betrouwbare PC en zet deze daar op een USB stick). BIOSes met rootkit zijn aangetoond onder lab omstandigheden, maar ik ga ervan uit dat je deze in de praktijk niet tegen zult komen.
(6) Als je twijfelt of je alle belangrijke info van je schijf hebt gebackupped (denk aan e-mail wachtwoorden) kun je het beste een nieuwe schijf kopen (zo duur zijn die nou ook weer niet) en de oude schijf, voorzien van rode viltstift markering "VIRUS", de datum, en de PC waar deze uitkwam, in de kast leggen. Ben je zeker van jezelf of heb je het geld er niet voor (over), wis dan de gecompromitteerde schijf in je PC met DBAN (éénmalig overschrijven met nullen). Dit voorkomt dat als je ooit met "unerase" programma's aan de gang moet, onbedoeld geïnfecteerde bestanden "terugtovert".
(7) Installeer Windows, drivers en applicaties opnieuw vanaf betrouwbare media. Daarna kun je de gebackupte en eentueel gereinigde files terugzetten.