Achtergrond
image

Security Tip van de Week: malware verwijderen van je pc

maandag 5 november 2012, 10:32 door Ted van Emmerik, 31 reacties

In de Security Tip van de week geeft elke week een andere professional, expert, onderzoeker of lezer een security tip. Persoonlijke tips, variërend van het veilig configureren van Windows, een handige security tool of het juist instellen van een firewall, waarmee de tipgever zijn systeem, applicatie of netwerk veiliger maakt.

Heb jij ook een leuke, originele, maar bovenal goede security tip die niet mag ontbreken, stuur dan een mail naar redactie@security.nl.

Deze week de tip van Ted van Emmerik

Malware verwijderen van je pc
In deze tip van de week wil ik het verwijderen van malware infecties toelichten. Voor de gevorderde gebruikers en security-enthousiasten is het veelal een 'fluitje van een cent' maar voor de minder gevorderde gebruiker is het toch een heel ander verhaal en zit men vaak met het handen in het haar. Last van malware, raak niet in paniek!

Als je computer is geïnfecteerd met malware raak dan niet meteen in paniek en ga niet direct een heel arsenaal aan 'tools" op het systeem loslaten met het idee dat het op deze manier wel opgelost zal worden. Neem daarom vooral de juiste voorzorgsmaatregelen vooraleer je begint aan het verwijderen van de malware.

Voorbereiding bij het verwijderen van malware
De eerste stap is het beperken van de schade, sluit daarom je computer af van het internet, dit om uitgaande verbindingen met de zogenaamde command & control servers onmogelijk te maken. Hierna kun je op je gemak het systeem controleren. Hierbij is het belangrijk om aandachtig te kijken naar de eventueel gegeven meldingen van het gebruikte beveiligingspakket. Aan de hand van de gegeven informatie kun je namelijk bepalen of het bestand wat bijvoorbeeld gevaarlijk gedrag vertoont werkelijk malware gerelateerd is.

Er zijn namelijk genoeg legitieme programma’s die gedrag van malware kunnen vertonen en daarom gedetecteerd worden. Verwijder dus niet zonder pardon bestanden maar plaats deze altijd eerst in quarantaine, mocht het namelijk blijken dat het om een ‘False Positive’ gaat kun je dit later weer herstellen.

Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren door een reeks engines van de antivirusfabrikanten. Hiervoor kun je terecht bij één van de onderstaande diensten.
- Virustotal
- Virscan
- Jotti

Malwarescanners en analysetools
Tegenwoordig zijn er heel veel malwarescanners beschikbaar waarmee je het systeem kunt controleren en waarmee het mogelijk is om malware te verwijderen. Onder deze programma’s bevinden zich ook specialistische tools en scanners die veel op fora worden gebruikt om aan de hand van de verkregen logs malware handmatig te verwijderen.

Bij dit soort speciale tools en scanners wordt dan ook vaak geadviseerd om deze niet zomaar te gebruiken, aangezien deze in het slechtste geval bij verkeerd gebruik meer problemen kunnen veroorzaken.

Om het systeem te controleren op aanwezigheid van malware kun je het beste als eerste gebruik maken van de volgende malwarescanners.
- Emsisoft Emergency Kit
- HitmanPro
- Malwarebytes’ Anti-Malware

Echter is het vaak noodzakelijk om dieper naar een probleem te kijken, hierbij wordt dan gebruik gemaakt van de zogenaamde specialistische tools waarmee je gericht te werk kunt gaan en handmatig de malware kunt opsporen en verwijderen. TDSSKiller van Kaspersky wat ontwikkeld is voor het verwijderen van ‘rootkits’ is één van dit soort tools die bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen.

Deze tool scant op rootkits, geïnfecteerde drivers, TDSS File Systems en dergelijke. De zogenaamde “Sigcheck” waarbij de drivers worden gecontroleerd bevat vaak de melding UnsignedFile.Multi.Generic. deze drivers worden dan aangezien als een ´suspicious object´ door TDSSKiller. Zodra je dit soort drivers en de bijbehorende register-ingangen zou verwijderen kan dit in het slechtste geval voor een niet op te starten systeem zorgen.

ComboFix ontwikkeld door sUBs is een specialistische scanner en analyse tool die gebruikt wordt bij het verwijderen van malware. Echter doordat ComboFix een zeer krachtige tool is en bij verkeerd gebruik onherstelbare schade aan het systeem kan toebrengen adviseert de ontwikkelaar van dit programma dan ook om het niet zonder toezicht van een ervaren helper te gebruiken.

Krijg je het advies TDSSKiller of ComboFix te gebruiken raadpleeg dan de onderstaande handleidingen voordat je met deze tools aan de slag gaat.
- Handleiding TDSSKIller
- Handleiding ComboFix

Online informatie
Op heel veel website´s zijn “removal instuctions” beschikbaar waarin staat omschreven hoe u een bepaalde infectie kunt verwijderen. Echter zijn er ook website’s die dit soort informatie plaatsen met als doel het promoten van een bepaald product 'Affiliate', terwijl dit soort programma’s niet eens in staat zijn om de infectie daadwerkelijk te verwijderen.

Ongetwijfeld zult u bij uw zoektocht naar een oplossing van het probleem gelijkwaardige problemen tegenkomen met de daarbij geboden adviezen en mogelijke oplossingen. Bij malware gerelateerde problemen is het niet aan te raden om deze instructies één op één te gebruiken aangezien deze vaak specifiek voor die computer zijn bestemd .

Met de eerder genoemde tool `ComboFix` is het mogelijk om met scripts het programma instructies te laten uitvoeren waarmee malware en sporen ervan verwijderd kunnen worden. Dit soort scripts ziet u veelal terug op fora, gebruik deze dan ook nooit op uw eigen computer ook al komt het probleem overeen.

Naast ComboFix, zijn er nog de volgende tools waarbij dezelfde regel geldt. OTL (by Oldtimer), The Avenger (swandog46), BlitzBlank (Emsisoft), Zoek.exe (Smeenk) en GMER.

Systeemherstel
Wat heel veel mensen doen bij een malware infectie is direct aan de slag gaan met “Systeemherstel”. In de eerste plaats is systeemherstel een handig hulpmiddel bij problemen maar niet geschikt om bij malware gerelateerde problemen te gebruiken.

Door het gebruik van systeemherstel zullen alleen systeembestanden en registerwaarde hersteld worden, met andere woorden alleen de laadpunten van de malware in het register zullen verwijderd worden maar niet de daadwerkelijk bestanden behorende tot de malware.
Daarentegen kan malware het uitvoeren van systeemherstel belemmeren of in het slechtste geval geheel uitgeschakeld hebben.

Register en systeem cleaners
Het gebruiken van cleaning tools zoals bijvoorbeeld het alom bekende Ccleaner en alternatieven zijn niet aan te raden om te gebruiken tijdens een malware infectie. In de eerste plaats kan het opschonen van het register en het verwijderen van bestanden in de TEMP folders heuristische scans nadelig beïnvloeden.

Daarnaast zijn er diverse rogueware varianten die de snelkoppelingen en bestanden van het bureaublad, start menu en quick lauch verplaatsen naar een tijdelijke (temp) folder. Zodra deze mappen worden geleegd zit u dus met een leeg startmenu en bureaublad omdat alle ‘items’ zonder pardon zijn verwijderd van het systeem.

- Registercleaners: informatie over het gebruik en de gevolgen
- Should I Use a Registry Cleaner?

Hulp bij malware en virus problemen
Op diverse forums kunt u terecht voor advies en hulp bij het verwijderen van malware, de hulp die wordt geboden op gespecialiseerde fora is vaak individueel waardoor de problemen door één iemand behandeld worden.

Nazorg
De meeste malware maakt een uitgaande verbinding met een Command & Control-server waarbij er vertrouwelijke gegevens zoals bijvoorbeeld inloggegevens worden buitgemaakt. Indien je computer geïnfecteerd is geweest is het dan ook raadzaam om al je gebruikte wachtwoorden te wijzigen.

Als de computer geïnfecteerd is geweest met een malware infectie is het raadzaam om alle aanwezige systeemherstelpunten te verwijderen, want hier kunnen namelijk besmette herstelpunten tussen zitten.

Ted van Emmerik is de oprichter van PC Web Plus, een forum waar mensen individueel hulp kunnen krijgen bij een computerbesmetting.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Reacties (31)
05-11-2012, 11:12 door Security Scene Team
Applaus.
05-11-2012, 11:34 door Fabian76
mmm. "Sluit je computer af van het Internet."
1 alinea verder "Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren"... right...
05-11-2012, 11:37 door Anoniem
Leuke exercitie voor mensen met heel veel tijd. Succes rate is erg laag, dus zakelijk gaat dit niet werken.

Elk geïnfecteerd werkstation wordt bij detectie direct van het netwerk getrokken en onherroepelijk opnieuw ge-imaged. Gewoon omdat het 'schoonmaken' of 'verwijderen' van malware en andere zooi een kansloze bedoeling is.
05-11-2012, 11:50 door golem

voor de minder gevorderde gebruiker is het toch een heel ander verhaal en zit men vaak met het handen in het haar. Last van malware, raak niet in paniek!

OK, dan ga je als minder gevorderde gebruiker verder lezen...
(Als die al hier terecht komt)
Dan krijg je wat termen om de oren :
- plaats deze altijd eerst in quarantaine
- False Positive
- Echter is het vaak noodzakelijk om dieper naar een probleem te kijken
- Deze tool scant op rootkits, geïnfecteerde drivers, TDSS File Systems en dergelijke. De zogenaamde “Sigcheck” waarbij de drivers worden gecontroleerd bevat vaak de melding UnsignedFile.Multi.Generic. deze drivers worden dan aangezien als een ´suspicious object´ door TDSSKiller

enz enz. Zeg maar dag tegen de minder gevorderde gebruiker. :)
05-11-2012, 12:06 door Anoniem
Keurig omschreven Ted, heel netjes.

Groeten
Eric
05-11-2012, 12:14 door Anoniem
mmm. "Sluit je computer af van het Internet."
1 alinea verder "Twijfel je over de detectie van het gebruikte beveiligingspakket dan kun je online de bestanden laten controleren"... right...
Dat is de eerste stap! De reden is toch duidelijk uitgelegd?
05-11-2012, 12:22 door Anoniem
Eens met Anoniem om 11:37u. Beste is om systeem te herinstalleren, dan zelf aan de slag te gaan. Als sysadmin vind ik het leuk om een virus op te sporen, ervan te leren en te verwijderen. Maar dat doe ik alleen maar op een minder belangrijk systeem. Anders reinstall, dat is het veiligste.
Ook al lukt het je om het opstarten van de malware te verhinderen en de bestanden te verwijderen, dan heb je nog geen oplossing voor eventuele achtergebleven veranderingen in het register, ini files, etc. Sommige virussen veranderen registerinstellingen bij services en andere onderdelen en zie die maar ongedaan te maken. Dat doet een virusscanner niet. Alleen met een gedetailleerd document over de werking van het virus loont het om zelf aan te slag te gaan. Ik zou sowieso zelf nooit alleen vertrouwen op tools zoals hitmanpro.

Mocht je toch zelf aan de slag willen gaan, heb ik nog enkele tips:
- boot vanaf een live Linux cd met een een virusscanner en scan de local disk. Handig voor signature based scanning.
- gebruik een tool zoals tcpview om te zien welk proces verdachte uitgaande tcp verbindingen maakt.
- Als het niet lukt om een verdacht malware bestand te verwijderen (of het bestand komt steeds terug), verander de ownership van dat bestand en verwijder vervolgens van dat bestand alle ntfs rechten. Zet Windows auditing aan met object access voor dat bestand, reboot en in eventlog (security) kan je terug vinden welk proces probeert dit bestand te benaderen.
05-11-2012, 12:50 door Anoniem
In de tijd dat ik nog Windows gebruikte -- ik heb nu Mageia, een Linux variant -- begon ik niet aan schoonmaakpogingen, ook niet wanneer ik hulp verleende bij geïnfecteerde computers van vrienden. Allemaal tijdverlies! Documenten en foto's en dergelijke opslaan op DVD's of een uitwendige harde schijf via een live CD, CMOS legen en opnieuw vullen uit de ROM, alle partities verwijderen, nieuwe partities maken en Windows opnieuw installeren. Met de talloze updates en de herinrichting van de computer ben je wel twee dagen kwijt, maar je hebt er dan ook wat voor: zekerheid dat de malware weg is, een schoon register en verse standaardinstellingen zonder allerlei rommel uit het verleden en een computer die weer wat snelheid heeft.

Erik
05-11-2012, 13:58 door Anoniem
Je komt er bijna niet onderuit om enig jargon te gebruiken in zulk soort artikelen, en de termen die de OP heeft gebruikt zijn allemaal goed te Googelen en spreken ook wel een beetje voor zich.

Maar dessalniettemin is het een helder en duidelijk artikel van mij een dikke +1
05-11-2012, 15:33 door Anoniem
Allereerst mijn complimeten het is een duidelijk en prettig artikel om te lezen.

Ik beaam de argumenten dat het bedrijfsmatig de voorkeur heeft om systemen die geinfecteerd zijn direct te recoveren.
1) Tijdwnst 2) Zekerheid

Maar laten we niet vergeten dat we niet meer in de tijd leven waar er alleen virussen waren die als doel hadden om alleen schade te berokkenen aan systemen.
Malware is heden ten dage goed te verwijderen met de juiste middelen en expertise, echte virussen als fileinfectors zijn toch wel een beetje uitgestorven die het systeem omzeep helpen.

Niet in alle omstandigheden is een clean install dus nodig en dit zullen de malware researchers ook wel met mij eens zijn.
05-11-2012, 16:01 door golem
Natuurlijk is het voor de technici bijna ondoenlijk om geen jargon te gebruiken.
Maar geef de "minder gevorderde gebruiker" niet het idee dat hij/zij het allemaal
zelf wel even kan doen.
05-11-2012, 16:10 door Anoniem
virussen overschrijven of verwijderen vaak bestanden of gegevens die niet door de omschreven tools hersteld kunnen(om dat ze simpleweg niet weten wat er stond voor dat het overschreven werd door het virus) of mogen worden ivm copyrights.

Het verwijderen van virussen met genoemde tools zal dan ook nooit mijn advies zijn omdat je vaak een kreupel en vervuild systeem over houd met allemaal onverklaarbare storingen tot gevolg.

Mijn advies is om enkel de bestanden er af te halen die je nodig hebt (als je die al niet had gebackuped) en dan volledig op nieuwe installeren.

Greetingz,
Jacco
05-11-2012, 17:06 door Anoniem
Dit is voor een beginnende schoonmaker wellicht voldoende. Maar als je Windows werkelijk goed schoon wilt krijgen zal je toch echt dieper moeten gaan. Ik ben ermee gestopt, het is dweilen met de kraan open. Ik kan me herinneren dat ik eerst met een netboot linux opstartte, en dan dingen als rkhunter en chkrootkit runde. Zolang windows in een rootkit draait kan je malware weghalen tot je blauw ziet. Helaas zijn rootkit steeds moeilijker te vinden zoals deze site vorig jaar al berichtte. Het is vreselijk veel werk en de windowsgebruikers erg ondankbaar, dus ik ben er zoals gezegd mee opgehouden. Ik adviseer een non-microsoft-OS.
05-11-2012, 18:04 door Anoniem
Ik mis de tools van sysinternals, te weten processexplorer, processmon, autoruns, listdlls, ....
Ok, niet geschikt voor de beginnende gebruiker maar je kan daar wel malware mee vinden dat nog zo vers is, dat er nog geen detectie voor is.
05-11-2012, 18:40 door E.Juisterr
@golem,
Waar zie je dat dat advies gegeven wordt ? Er wordt immers verwezen naar fora waar hulp aangeboden wordt, gratis en voor niks en alles doet de gebruiker onder begeleiding van het forum.
Op de fora wordt het in Jip en Janneke taal uitgelegd!
Prima topic dit hoor.
05-11-2012, 18:49 door [Account Verwijderd]
Heel duidelijk en goed uitgelegd, een nuttig tip, super!
05-11-2012, 21:50 door Anoniem
Je systeem scannen met bijv.hitman pro of bijv. norton power eraser kan niet als je je pc van internet hebt afgehaald, want deze scanners zullen melden dat ze een internetverbinding nodig hebben.
06-11-2012, 00:33 door quikfit
Voor deze minder gevorderde gebruiker is het duidelijk. ;-)
06-11-2012, 02:28 door [Account Verwijderd]
[Verwijderd]
06-11-2012, 11:28 door Anoniem
Goed artikel en heel complete gids voor verwijderen malware maar ik ben het eens met een aantal andere gebruikers. Dit is in 95% van de gevallen niet de moeite, vooral omdat je zeer moeilijk zekerheid hebt of je nu echt alle malware te pakken hebt.

Herinstallatie is meestal sneller en veiliger.
06-11-2012, 11:48 door Anoniem
Dit gaat alleen over Windows.
Wat voor software adviseren jullie voor het opsporen van malware/rootkits voor Linux?
(ik bedoel dus niet een Linux bootcd die een Windows systeem op malware onderzoekt)
06-11-2012, 13:41 door Anoniem
Vrijwel alle testers van AV pakketten gebruiken naast Malwarebytes en Hitman Pro de CCE tools van Comodo (http://www.comodo.com/business-security/network-protection/cleaning_essentials.php). Processen en onderdelen worden gescand en als onbetrouwbaar aangemerkt zodat je deze eenvoudig kan killen. Veel anti-virusscanners hebben moeite om malware te verwijderen wanneer bestanden in gebruik zijn.

Maar ..... voorkomen is uiteraard beter. En zo heel ingewikkeld is dat niet, een beetje discipline en geen vage shit installeren. Wil je toch experimenteren doe dat dan vooral in een VM of gebruik daar Sandboxie voor. Zorg er dan wel voor dat een VM of sandbox geen verbinding of gebruik kan maken van het lokale systeem want dan kun je alsnog geïnfecteerd raken. Als de werking van malware wil testen kijk dan eens bij www.malc0de.com.
06-11-2012, 14:54 door Anoniem
Meeste serieuze rootkits (reguliere malware wel) laten zich niet verwijderen vanuit een 'online' Windows; ik mis dus de optie 'boot CD' en dan scannen & cleanen. Verder een goede leidraad voor de hobbyist, maar helemaal zeker zijn dat de malware volledig weg is, is niet weggelegd voor de meesten, zelfs niet voor professionele beheerders, etc. Het beste advies is inderdaad: formatteren / wipen en schone installatie ...
06-11-2012, 17:39 door Anoniem
tsss, wat een gedoe met dat windows, blij met mijn mac!! scheelt bergen tijd.
07-11-2012, 10:08 door Anoniem
Door Anoniem: tsss, wat een gedoe met dat windows, blij met mijn mac!! scheelt bergen tijd.
Nog wel, maar tegenwoordig moet alles crossplatform werken en ontwikkeld worden, waarbij straks ook de MAC religie ten onder aan malware en virussen zal gaan als gebruikers net zo arrogant reageren als jij. Het is niet anders, wen er alvast maar aan.
07-11-2012, 16:30 door Spiff has left the building
Bitwiper heeft een paar maanden geleden een stappenplan neergezet dat ook waardevol is om eens te bekijken.
Dat was in Bitwipers reactie van 12-8-2012, 22:50 uur, bij dit artikel;
http://www.security.nl/artikel/42635/1/FBI%3A_alleen_professional_kan_Citadel_verwijderen.html
08-11-2012, 20:38 door [Account Verwijderd]
Door Anoniem: tsss, wat een gedoe met dat windows, blij met mijn mac!! scheelt bergen tijd.

Een beetje kort door de bocht reactie? Ook een Mac kan een infecties oplopen, twee voorbeelden:

http://macwereld.nl/forum/mac_os_x/

http://macworld.nl/Mac/71619676-ziggo-adviseert-klanten-over-het-verwijderen-van-het-flashback-virus.html
09-11-2012, 21:03 door cjmanschot
Volledige systeembackup maken elke week zou het mooiste zijn, maarja een hoop mensen laten alles staan op de C:/ partitie en dan wordt zo'n (wekelijkse!) backup ondoenlijk. Ook pc's die standaard geleverd worden met Windows en dan al die Trial-shit erbij is ook niks. Dus zullen die twee punten eerst moeten worden nagelopen, zodat een backup redelijk te doen is.
18-06-2013, 15:23 door Jion
Mooie en heel duidelijke uitleg met heel wat nuttige tips!
18-06-2013, 15:44 door Anoniem
Zeker Jion, greetz Juisterr
18-06-2013, 15:46 door E.Juisterr
Inderdaad Jion.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search