Avonturen in malwareland
Eén probleem, zeven scanners, geen oplossing
10 februari 2009 | Merijn Gelens
Wie regelmatig met computers werkt en dat niet voor de buurt verborgen houdt, zal het volgende scenario bekend voorkomen. De telefoon gaat en een bekende zegt: "Ik heb een virus, wat nu?" Mijn eerste gedachte is dan 'nee hoor', en vervolgens achterhaal ik wat het werkelijke probleem is.
Maar afgelopen weekend was er meer aan de hand. Op zaterdag ging de deurbel en belandde de laptop van iemand anders op mijn bureau. Er was geen hardware of software geïnstalleerd of verwijderd en online scans liepen vast.
Probleem nummer één was meteen duidelijk: er stonden vier virusscanners op de machine. De laptop draaide oorspronkelijk Norton 360. Dat was, volgens de helpdesk van de provider, "waanzinnig slechte software". Die algemene wijsheid komt erg veel voor bij mensen die niet naar nieuwere versies van software kijken. Je mening bijstellen kost uiteindelijk moeite.
Toch moet ik één kanttekening maken. Deze besmetting is voorbij Norton gegaan op een volledig up-to-date Windows Vista-systeem. Dat is niet zo netjes, om het zacht uit te drukken. Na een aantal online scanners te zien crashen, lijkt het verlossende woord te komen van Kaspersky (online). Kido zou op het systeem staan. Maar het draaien van Kidokiller heeft helaas geen enkel effect.
Tijd voor zwaardere middelen. Om te beginnen een poging om Kaspersky en vervolgens F-Secure te installeren. De installatie van Kaspersky eindigt met een blauw scherm. Ik vermoed dat de infectie hier een blokkade opwerpt. F-Secure is te installeren, maar kan geen updates krijgen. De updateserver wordt geblokkeerd.
Vervolgens ga ik in de weer met scannen vanaf boot. Als eerste maak ik een USB-stick met daarop Avira Rescue CD. Helaas blijkt deze stick niet in staat om de harde schijf van de notebook te vinden.
Door naar stap 2: een hulp-cd van G Data. Deze start op in een Linux-omgeving en kan vanaf daar de scanner updaten om vervolgens de harde schijf te scannen. Daar wordt één infectie aangetroffen met een generiek stuk malware zonder specificatie of naam. Maar bij herstart van het schone systeem blijkt 'zonder resultaat' ook op te gaan voor deze scan.
Navigeer
20/04/2009 17:51:55
Origineel bericht van Dick 10/02/2009
Zeer juist.
Images is the way to go.
Ik heb er verschillende liggen thuis:
- windows xp met sp3
- windows xp met al mijn device drivers en hardware ge�¯nstalleerd.
Voor te surfen/serial gens/... gebruik ik een virtual pc waarvan ik een propere file kopie heb. Gewoon file kopie af en toe en terug propere virtual pc. Zo geraakt er ook niks op mijn eigenlijke pc.
20/04/2009 17:51:55
Origineel bericht van X-man 10/02/2009
maar leg dat nu eens uit aan de "modale gebruiker" ?
20/04/2009 17:51:50
Origineel bericht van X-man 10/02/2009
Combofix is �©�©n van de tooltjes die "wij" gebruiken maar zeker niet Frans.
"Wij" = multidesk.be
20/04/2009 17:51:49
Origineel bericht van Acadia 10/02/2009
Inderdaad, de gewone gebuiker kan beter Linux gaan gebruiken.
Veel veiliger en verbruikt geen onnodige processortijd.
20/04/2009 17:51:49
Origineel bericht van Patrick Parker Patrick Parker, a new high in low taste 10/02/2009
Allez, we zijn weer vertrokken, de Linux lobby is weer wakker geschoten.
20/04/2009 17:51:49
Origineel bericht van rocco kortenberg 10/02/2009
ik heb wel COMBO FIX in het ENGELS uitgevoerd ,,,
20/04/2009 17:51:49
Origineel bericht van X-man 10/02/2009
nu nog leren reageren op de juiste manier 
20/04/2009 17:51:49
Origineel bericht van boulder ergens 10/02/2009
Als je dan toch een verdacht bestand gevonden hebt, kun je dat best eens uploaden naar www.virustotal.com sturen, dan wordt die file ineens door een 20 tal verschillende virusscanners gescand.
Maar het is een feit dat virussen verwijderen dezer dagen steeds moeilijker begint te worden.
De tijd dat een virus uit �©�©n bepaalde executable bestond die altijd dezelfde naam had, is voorbij.
Tegenwoordig heb je makkelijk een combinatie van virus, spyware, dialler (zelfs draadloos via Bluetooth naar je GSM !), worm, enz.
En dan weet je nooit zeker als je virusscanner zijn werk gedaan heeft, of ie echt alle componenten meeheeft.
20/04/2009 17:51:48
Origineel bericht van Mike Ergens 10/02/2009
Vermoedelijk zullen we achter de feiten blijven aan lopen en blijft de ziekte nog voor op de genezing, als er al een genezing is.
De beveiliging is er met rasse schreden op vooruit gegaan, jammer genoeg telt dit ook voor de schrijvers van deze ergerlijke dingen. Ook de manier waarop antivirus-programma's werken en de virus of andere malware moet verwijderen is soms om bij te huilen. De antivirusmakers zouden beter samenwerken en samen een vuist maken tegen de virusschrijvers, zodat het internet terug een veilige plaats wordt.
20/04/2009 17:51:48
Origineel bericht van X-man 10/02/2009
90% van de "gewone" gebruikers denkt dat zijn gegevens op de HD veilig zijn of denkt dat een externe HD een "back-up" is ...
20/04/2009 17:51:48
Origineel bericht van Tom 10/02/2009
Vista kan je op een uur installeren en wie neemt nog steeds geen backup van zijn gegevens?
Moet je nu echt op die HDD gaan, neem gewoon een Ubuntu-Live-CD en take what u can save.
20/04/2009 17:51:48
Origineel bericht van z-man 10/02/2009
Linux is geen oplossing, dat is weglopen van het probleem.
Hoe los je het probleem op?
NADAT je het probleem hebt opgelost, dan kan je eventueel aanraden om de volgende computer misschien met Linux te installeren of een Mac aan te schaffen. Maar nu op dit moment heb je een probleem, hoe los je het op?
20/04/2009 17:51:48
Origineel bericht van X-man 10/02/2009
Gezien op TV : Linux voor uw witte was, aambeien, kanker, oproepen overleden echtenoten/familieleden, energieprobleem, Global warming EN je kan er ook mee internetten ...
20/04/2009 17:51:48
Origineel bericht van Dvader 10/02/2009
De eerste stap is het controleren van Rootkits. Gmer is voor mij nog altijd de top. Gmer kan alle processen loggen. Gmer detecteert de rootkit maar de besmettingsvector is meestal een besmet Windows-systeem-bestand die je zomaar niet kan herstellen of verwijderen. Onlangs had ik zo (klantenpc) een rootkit in de vorm van een driver die door userinit.exe werdt ge�¯njecteerd Beide userinit's in windowssystem32 en windowssystem32dllcache waren besmet. Een kopie van een andere pc loste dit probleem op. De rest is heel wat gemakkelijker. Mijn tools:
1. Gmer
2. UBCD4Windows (BartPE - met Antivir, Superantispyware,enz)
3. SuperAntiSpyware ( goed voor Vundo en Vundoleftovers)
4. MalwareBytes (oplossing voor DNSChanger)
5. Knoppicillin 7 (live cd CT - Knoppix - 3 scanners : Antivir, Kasperky en Bitdefender)
6. Antivir (opgelet : veel false positives)
7. Spybot SD ( vundo leftovers - vooral de .Ini's)
En don't forget : xp system restore is soms een lifesaver omdat je een herstelpunt kunt terugplaatsen van voor de besmetting.
20/04/2009 17:51:47
Origineel bericht van Dino 10/02/2009
Om het probleem op te lossen zou je "jan mondaal" moeten bijscholen...
Maar die is liever lui dan moe en ziet er het nut niet van in.
20/04/2009 17:51:47
Origineel bericht van X-man 10/02/2009
Waarom moeten zij "mijn " kennis opdoen? Ze gaan toch ook naar de garage om hun auto te herstellen?
Laat ze maar prutsen. Ik pruts aan 50âÂ?¬ p/pc
20/04/2009 17:51:47
Origineel bericht van Dvader 10/02/2009
Klopt.Als je ziek bent ga je naar de dokter. Als je wagen defect is ga je naar de garage enz. Ons economisch bestel zit overigens zo in elkaar. Als iedereen alles kent en weet, heb je geen economie meer. Dat is ook de denkfout van de Linux-geeks. Zij hebben altijd wel een verhaal over de linux-pc van moeder, vader, zus, maitresse , enz....die oh zo perfekt werkt maar als je dit naar wat grotere hoeveelheden projecteert is het een kompleet ander verhaal. En het gebruik van goederen of software is het niet altijd een technisch verhaal. Opensource is een software-ontwikkelings-model maar geen gebruikersmodel.
20/04/2009 17:51:47
Origineel bericht van Franco 10/02/2009
Hier idd hetzelfde probleem, zal ook moeten beginnen met een schone lei...
20/04/2009 17:51:47
Origineel bericht van Paradox 10/02/2009
Slechte programma's
slechte denkwijze.
VEEL te commercieel ingesteld.
20/04/2009 17:51:46
Origineel bericht van X-man 10/02/2009
scheepslui staan aan wal blijkt ook nu weer.
Altijd gemakkelijk om iemand af te breken ZONDER zelf een "betere" oplossing aan te bieden.
Hoeveel tijd moet JIJ er insteken als de meesten niet eens de moeite doen om een back-up te nemen?
Ik pas NOG sneller de 1-2-3 regel toe ofwel beginnen we bij 100âÂ?¬ en geef ik de job door.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
