In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.
Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.
Deze week de tip van Ted van Emmerik
Malware verwijderen van je pc
In deze tip van de week wil ik het verwijderen van malware infecties toelichten. Voor de gevorderde gebruikers en security-enthousiasten is het veelal een 'fluitje van een cent' maar voor de minder gevorderde gebruiker is het toch een heel ander verhaal en zit men vaak met het handen in het haar. Last van malware, raak niet in paniek!
Als je computer is geïnfecteerd met malware raak dan niet meteen in paniek en ga niet direct een heel arsenaal aan 'tools" op het systeem loslaten met het idee dat het op deze manier wel opgelost zal worden. Neem daarom vooral de juiste voorzorgsmaatregelen vooraleer je begint aan het verwijderen van de malware.
Voorbereiding bij het verwijderen van malware
De eerste stap is het beperken van de schade, sluit daarom je computer af van het internet, dit om uitgaande verbindingen met de zogenaamde command & control servers onmogelijk te maken. Hierna kun je op je gemak het systeem controleren. Hierbij is het belangrijk om aandachtig te kijken naar de eventueel gegeven meldingen van het gebruikte beveiligingspakket. Aan de hand van de gegeven informatie kun je namelijk bepalen of het bestand wat bijvoorbeeld gevaarlijk gedrag vertoont werkelijk malware gerelateerd is.
Er zijn namelijk genoeg legitieme programma’s die gedrag van malware kunnen vertonen en daarom gedetecteerd worden. Verwijder dus niet zonder pardon bestanden maar plaats deze altijd eerst in quarantaine, mocht het namelijk blijken dat het om een ‘False Positive’ gaat kun je dit later weer herstellen.
Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren door een reeks engines van de antivirusfabrikanten. Hiervoor kun je terecht bij één van de onderstaande diensten.
- Virustotal
- Virscan
- Jotti
Malwarescanners en analysetools
Tegenwoordig zijn er heel veel malwarescanners beschikbaar waarmee je het systeem kunt controleren en waarmee het mogelijk is om malware te verwijderen. Onder deze programma’s bevinden zich ook specialistische tools en scanners die veel op fora worden gebruikt om aan de hand van de verkregen logs malware handmatig te verwijderen.
Bij dit soort speciale tools en scanners wordt dan ook vaak geadviseerd om deze niet zomaar te gebruiken, aangezien deze in het slechtste geval bij verkeerd gebruik meer problemen kunnen veroorzaken.
Om het systeem te controleren op aanwezigheid van malware kun je het beste als eerste gebruik maken van de volgende malwarescanners.
- Emsisoft Emergency Kit
- HitmanPro
- Malwarebytes’ Anti-Malware
Echter is het vaak noodzakelijk om dieper naar een probleem te kijken, hierbij wordt dan gebruik gemaakt van de zogenaamde specialistische tools waarmee je gericht te werk kunt gaan en handmatig de malware kunt opsporen en verwijderen. TDSSKiller van Kaspersky wat ontwikkeld is voor het verwijderen van ‘rootkits’ is één van dit soort tools die bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen.
Deze tool scant op rootkits, geïnfecteerde drivers, TDSS File Systems en dergelijke. De zogenaamde “Sigcheck” waarbij de drivers worden gecontroleerd bevat vaak de melding UnsignedFile.Multi.Generic. deze drivers worden dan aangezien als een ´suspicious object´ door TDSSKiller. Zodra je dit soort drivers en de bijbehorende register-ingangen zou verwijderen kan dit in het slechtste geval voor een niet op te starten systeem zorgen.
ComboFix ontwikkeld door sUBs is een specialistische scanner en analyse tool die gebruikt wordt bij het verwijderen van malware. Echter doordat ComboFix een zeer krachtige tool is en bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen adviseert de ontwikkelaar van dit programma dan ook om het niet zonder toezicht van een ervaren helper te gebruiken.
Krijg je het advies TDSSKiller of ComboFix te gebruiken raadpleeg dan de onderstaande handleidingen voordat je met deze tools aan de slag gaat.
- Handleiding TDSSKIller
- Handleiding ComboFix
Online informatie
Op heel veel website´s zijn “removal instuctions” beschikbaar waarin staat omschreven hoe u een bepaalde infectie kunt verwijderen. Echter zijn er ook website’s die dit soort informatie plaatsen met als doel het promoten van een bepaald product 'Affiliate', terwijl dit soort programma’s niet eens in staat zijn om de infectie daadwerkelijk te verwijderen.
Ongetwijfeld zult u bij uw zoektocht naar een oplossing van het probleem gelijkwaardige problemen tegenkomen met de daarbij geboden adviezen en mogelijke oplossingen. Bij malware gerelateerde problemen is het niet aan te raden om deze instructies één op één te gebruiken aangezien deze vaak specifiek voor die computer zijn bestemd .
Met de eerder genoemde tool `ComboFix` is het mogelijk om met scripts het programma instructies te laten uitvoeren waarmee malware en sporen ervan verwijderd kunnen worden. Dit soort scripts ziet u veelal terug op fora, gebruik deze dan ook nooit op uw eigen computer ook al komt het probleem overeen.
Naast ComboFix, zijn er nog de volgende tools waarbij dezelfde regel geldt. OTL (by Oldtimer), The Avenger (swandog46), BlitzBlank (Emsisoft), Zoek.exe (Smeenk) en GMER.
Systeemherstel
Wat heel veel mensen doen bij een malware infectie is direct aan de slag gaan met “Systeemherstel”. In de eerste plaats is systeemherstel een handig hulpmiddel bij problemen maar niet geschikt om bij malware gerelateerde problemen te gebruiken.
Door het gebruik van systeemherstel zullen alleen systeembestanden en registerwaarde hersteld worden, met andere woorden alleen de laadpunten van de malware in het register zullen verwijderd worden maar niet de daadwerkelijk bestanden behorende tot de malware.
Daarentegen kan malware het uitvoeren van systeemherstel belemmeren of in het slechtste geval geheel uitgeschakeld hebben.
Register en systeem cleaners
Het gebruiken van cleaning tools zoals bijvoorbeeld het alom bekende Ccleaner en alternatieven zijn niet aan te raden om te gebruiken tijdens een malware infectie. In de eerste plaats kan het opschonen van het register en het verwijderen van bestanden in de TEMP folders heuristische scans nadelig beïnvloeden.
Daarnaast zijn er diverse rogueware varianten die de snelkoppelingen en bestanden van het bureaublad, start menu en quick lauch verplaatsen naar een tijdelijke (temp) folder. Zodra deze mappen worden geleegd zit u dus met een leeg startmenu en bureaublad omdat alle ‘items’ zonder pardon zijn verwijderd van het systeem.
- Registercleaners: informatie over het gebruik en de gevolgen
- Should I Use a Registry Cleaner?
Hulp bij malware en virus problemen
Op diverse forums kunt u terecht voor advies en hulp bij het verwijderen van malware, de hulp die wordt geboden op gespecialiseerde fora is vaak individueel waardoor de problemen door één iemand behandeld worden.
Nazorg
De meeste malware maakt een uitgaande verbinding met een Command & Control-server waarbij er vertrouwelijke gegevens zoals bijvoorbeeld inloggegevens worden buitgemaakt. Indien je computer geïnfecteerd is geweest is het dan ook raadzaam om al je gebruikte wachtwoorden te wijzigen.
Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.
Ted van Emmerik is de oprichter van PC Web Plus, een forum waar mensen individueel hulp kunnen krijgen bij een computerbesmetting.
Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.
Deze posting is gelocked. Reageren is niet meer mogelijk.