Een usb-stick gebruiken om malware te verwijderen
Normaal gesproken start je pc op vanaf een interne harde schijf. Het is ook mogelijk je pc van een dvd of zelfs van een usb-stick te starten. Er zijn scenario's die zo'n alternatieve opstartmethode zinvol maken. In een vijfdelige reeks gaan we op deze scenario's in. In deel 1 pakken we malware aan.
Nagenoeg elke moderne computer kan van uiteenlopende media opstarten, zoals een cd/dvd of een usb-stick. Wij kiezen voor een usb-stick omdat deze herschrijfbaar, robuuster, duurzamer en sneller is. Bovendien hebben niet alle computers nog een cd/dvd-station (denk aan netbooks). Maar waarom zou je een pc willen opstarten van een medium als een usb-stick?
Opstarten vanaf usb-stick
Daar kunnen we verschillende redenen voor bedenken. Zo kan het gebeuren dat je een malware-infectie op je systeem vermoedt, maar dat je virusscanner niets verdachts aantreft of niet meer functioneert. Een mogelijke verklaring is dat de malware al actief is zodra je Windows opstart. Antivirussoftware opstarten vanuit een schoon systeem (zoals een besturingssysteem op een usb-stick) biedt dan uitkomst.
Een ander scenario: om een of andere reden wil Windows niet meer opstarten, zodat ook je gegevens niet langer bereikbaar zijn. Ook dat laat zich wellicht oplossen met een opstartbare usb-stick.
Andere redenen kunnen zijn: surfen en online bankieren zonder dat je hoeft te vrezen voor een besmet of gekaapt systeem, het BIOS of andere firmware 'flashen' met een tool die een DOS-omgeving vereist, een systeemprogramma uitvoeren dat niet werkt vanuit je reguliere Windows-omgeving (denk aan een partitioneringsprogramma), een Linux-distributie uitproberen zonder die op je harde schijf te installeren enzovoort.
Reeks
We zullen verschillende van deze scenario's behandelen. Het opsporen en verwijderen van potentiële malware zoals rootkits is het onderwerp van dit eerste deel. Handig om achter de hand te hebben liggen in geval van narigheid, of wanneer je onverhoopt moet uitrukken om het systeem van familie of kennissen op te schonen.
Later leggen wij je uit hoe je een usb-stick prepareert voor netwerk- en pc-analyse, veilig internetten, dataherstel en overige portabele apps. Houd dus vooral de website in de gaten.
©PXimport
Een geprepareerde usb-stick: altijd handig om in de kast te hebben liggen!
01 Stick kiezen
We gaan ervan uit dat je over een usb2.0-stick beschikt. De capaciteit hangt natuurlijk af van wat je op die stick wil plaatsen, maar voor onze doeleinden kies je het best voor een stick van 4 GB of meer (voor de prijs hoef je het nauwelijks te laten: zelfs een 32 GB-stick vind je al vanaf circa 12 euro).
©PXimport
Snelle leestijden zijn altijd welkom en daar kunnen best wel opvallende verschillen optreden. Op usbspeed.nirsoft.net vind je een overzicht en een tool om zelf de snelheid van je sticks te testen.
02 Opstartbaar maken
Er zijn diverse tools waarmee je een usb-stick opstartbaar kunt maken. Onze voorkeur gaat uit naar YUMI (Your Universal Multiboot Installer), met name omwille van het gebruiksgemak en de flexibiliteit. De tool heeft geen installatie nodig. Zorg dat je stick in de pc steekt, start het programma op, ga akkoord met de gebruiksovereenkomst en verwijs naar de (juiste!) usb-stick in het uitklapmenu. Eventueel plaats je eerst een vinkje bij Showing All Drives.
Vink dan de optie bij Format X: Drive aan: alle data op de stick wordt overschreven, zodat de stick schoon is.
©PXimport
03 Bij problemen
Meestal kun je rechtstreeks van stap 2 naar stap 7. Maar in een zeldzaam geval gaat er toch iets mis bij het formatteren in stap 2 en duiken er bij het booten achteraf problemen op. In dat geval moet je iets meer moeite doen om de stick met de hand te formatteren. Start de opdrachtprompt als administrator: tik cmd in het Windows-startmenu in en bevestig met Ctrl+Shift+Enter.
©PXimport
Daarna voer je het commando diskpart uit. Achter de nieuwe prompt voer je de opdracht list disk uit. Op basis van de grootte kun je je stick vervolgens identificeren, het schijfnummer lees je af in de kolom Schfnr.
04 Stick leegmaken
Je selecteert je usb-stick met de opdracht select disk . Je krijgt vervolgens de melding Schijf x is nu de geselecteerde schijf. Maar het commando detail disk geeft je veel meer informatie over je usb-stick. De volgende stap is het opschonen van de stick met het commando clean of, grondiger nog, met clean all. Met dit laatste commando overschrijf je namelijk alle sectoren, een proces dat echter lang kan duren.
©PXimport
05 Bestandssysteem kiezen
Er zijn verschillende bestandssystemen mogelijk waarin je de usb-stick kunt formatteren, waaronder FAT32 en NTFS. Een voordeel van NTFS is dat het bestanden van meer dan 4 GB aankan. Maar aangezien wij in de volgende stappen in een (grafische) Linux-omgeving werken, is NTFS geen echte optie. Linux vereist namelijk een FAT(32)-medium om te kunnen booten (en ook een UEFI-stick heeft FAT32 nodig, zie kader UEFI omzeilen). Wij kiezen in daarom voor FAT32.
©PXimport
06 Stick formatteren
Voer de volgende drie commando's uit (telkens gevolgd een Enter): 'create partition primary', 'assign', 'exit'. Er verschijnt nu een Windows-venster waarin je de knop 'Schijf formatteren' aanklikt en bij 'Bestandssysteem' de optie 'FAT32 (standaard)' selecteert. Verwijder bij voorkeur het vinkje bij 'Snelformatteren' en bevestig met 'Starten'. Is de stick groter dan 32 GB, dan moet je uitwijken naar een gratis tool als FAT32 Format. Gebruik tot slot het programma YUMI (stap 2) opnieuw, dit keer zonder vinkje bij de optie 'Format X: Drive'.
©PXimport
07 Distributies bekijken
YUMI mag je stick dan wel opstartbaar maken (lees: van een geschikte bootloader als grub en syslinux voorzien), daar heb je natuurlijk niets aan als daar niet een of ander besturingssysteem aan gekoppeld is.
©PXimport
Ook daarin voorziet YUMI. Meer zelfs, je kunt uit tientallen live-distributies kiezen, opgedeeld in diverse rubrieken. Zo tellen we bijvoorbeeld 76 Ubuntu-varianten, 35 systeemtools en 13 antivirustools. En wie heeft nagedacht over de 'M' in YUMI (van Multiboot) heeft wellicht begrepen dat we verschillende distributies op dezelfde stick kwijt kunnen.
08 Distributie selecteren
Met name bij het detecteren van potentiële malware kan het zinvol zijn verschillende antivirustools te proberen. Immers, wat aan de ene antivirustool ontsnapt, wordt wellicht opgepikt door de andere. Scrol dus naar de rubriek Antivirus Tools en selecteer alvast één antimalware-distributie.
©PXimport
Tot onze favorieten horen AVG Rescue CD, BitDefender Rescue Disk en Kaspersky Rescue Disk, maar het staat je vrij een andere distributie te selecteren. Wij beginnen met Kaspersky, waarna we een vinkje plaatsen bij Download the iso. Immers, het bijhorende iso-bestand staat nog niet op onze schijf.
09 Distributie toevoegen
Bevestig de vraag of je de downloadlink wil lanceren met Ja en wacht tot de download is afgerond. Vervolgens klik je op Browse en wijs je YUMI de weg naar het gedownloade iso-bestand. Staat dat eenmaal klaar, dan druk je op de knop Create en bevestig je je beslissing. Het iso-bestand wordt nu automatisch uitgepakt en aan je stick toegevoegd. Na afloop druk je op Next en bevestig je met Ja als je nog andere distro's aan je stick wil toevoegen. Wij herhalen de procedure alvast voor AVG en BitDefender. Na afloop sluit je YUMI af met Finish.
©PXimport
Van dvd naar iso-bestand
YUMI kan zelf geen image maken van een opstartbare cd/dvd. Hiervoor heb je een ander programmaatje nodig: CDBurnerXP. Stop de cd/dvd in het station, start de tool op en kies Kopieer schijf uit het menu. Druk op 'OK', verwijs bij het bronstation naar je cd/dvd en stip bij 'Doel' de optie 'Harde schijf' aan. Geef een naam en locatie op, stel het 'Bestandstype' in op 'ISO (Enkele track)' en bevestig met 'Kopiëren schijf'. Is het iso-bestand eenmaal klaar, dan kies je in YUMI, onderaan de lijst, voor 'Try an Unlisted ISO', waarna je naar het gewenste iso-bestand verwijst.
10 Bootmenu openen
Het is nu de bedoeling dat je je pc met deze usb-stick opstart. Afhankelijk van het systeem, vereist dat wel bepaalde handelingen. Bij de meeste moderne systemen dien je tijdens het opstarten een of andere toets(combinatie) in te drukken om een speciaal bootmenu op te roepen, waarin je dan te kennen geeft het apparaat vanaf de usb-stick te willen booten. Vaak is dat een functietoets als F10 of F12, maar de handleiding bij je systeem vertelt je ongetwijfeld wat je precies hoort te doen.
©PXimport
11 Bootsequentie aanpassen
Het valt met name bij wat oudere systemen niet uit te sluiten dat je het BIOS in moet om je pc van een alternatief medium te laten opstarten. Meestal kom je in het BIOS door tijdens het opstarten op de Delete-toets te drukken. Eenmaal binnen ga je op zoek naar een optie om de opstartvolgorde (boot sequence) aan te passen.
©PXimport
Niet zelden is dat bij Advanced BIOS features. Je zorgt er dan voor dat het usb-apparaat als eerste in de rij staat. Mogelijk omschrijft je eigen bios dat als 'removable device' of 'external device'. Beschik je over een UEFI-systeem? Lees dan het kader 'UEFI-perikelen' door.
12 YUMI-stick opstarten
We gaan ervan uit dat je verschillende antimalware-distributies op je stick hebt staan. Als het goed is, krijg je dan een grafisch opstartmenu te zien waarin je als eerste optie alsnog de kans krijgt gewoon naar je harde schijf door te starten. Dat is hier niet de bedoeling en dus kies je voor de rubriek Antivirus Tools. Hier zie je dan de geïnstalleerde distributies en hoef je de gewenste distributie alleen maar te selecteren. Verder in dit artikel leggen we kort de werking van Kaspersky, AVG en BitDefender uit.
©PXimport
UEFI-perikelen
Veel nieuwe systemen starten standaard op in de UEFI-modus (Unified Extensible Firmware Interface), de 'opvolger' van het BIOS. Dat is vooral bij systemen met een voorgeïnstalleerde Windows 8 het geval omdat Microsoft dat zo voorschrijft.
Microsoft eist bovendien dat de UEFI-functie Secure Boot is ingeschakeld, zodat alleen besturingssystemen met een door Microsoft ondertekende bootloader kunnen opstarten. Sommige Linux-distributies kunnen daarmee overweg, maar dat is niet altijd het geval.
UEFI omzeilen
Gelukkig kun je Secure Boot in de instellingen van UEFI uitschakelen, raadpleeg de handleiding bij je systeem of gebruik een zoekmachine. Het is echter niet zeker dat het nu wél lukt: mogelijk moet je in de instellingen tijdelijk de BIOS-modus activeren. Tijdelijk, want de kans is reëel dat in die modus een voorgeïnstalleerde Windows niet langer opstart. Of je laat de UEFI-modus geactiveerd en probeert het door met het programmaatje Rufus een UEFI-compatibele bootstick te creëren.
13 Kaspersky (1)
Na de keuze voor Kaspersky krijg je meerdere mogelijkheden, waaronder optie een hardware-informatietool te draaien of om Kaspersky in 'text mode' op te starten. Wij kiezen echter de bovenste optie: Run Kaspersky Rescue Disk from this USB.
©PXimport
Even later start de tool op in een grafische desktopomgeving. Start hier Kaspersky Rescue Disk op en laat de tool eerst zijn databases updaten, via het tabblad My Update Center. Vervolgens hoeft je enkel de locaties aan te duiden die je wil laten scannen. Dat doe je op het tabblad Object Scan, via de knop +Add.
14 Kaspersky (2)
Voor je de scan laat uitvoeren, doe je er goed aan Settings te selecteren. Je kunt hier bijvoorbeeld het beveiligingsniveau verhogen en via de knop Settings duidelijk maken welke bestanden je wil laten scannen. Op het tabblad Additional kun je bovendien de scanmethode selecteren (Signature en/of Heuristic Analysis) en bij de heuristische scan de grondigheid instellen. Verder is het verstandig de optie Prompt when the scan is complete geselecteerd te laten, zodat je zelf kunt beslissen wat er met potentiële malware moet gebeuren: in quarantaine plaatsen, desinfecteren of desnoods verwijderen.
©PXimport
15 AVG (1)
Twee weten meer dan één en dus gebruiken we ook nog AVG. Blijkt de bovenste optie problemen te geven, dan kun je het nog met een van de twee andere proberen (with Disabled Framebuffer en with Resolution Selection). Even later verschijnt dan een menu waar je de eerste optie selecteert: Scan. Stelt AVG een update voor, ga daar dan zeker op in. Kies in dat geval Online /Update from the Internet. Vervolgens geef je aan wat je precies wil laten scannen: specifieke volumes of mappen, de bootsectoren of het Windows-register.
©PXimport
16 AVG (2)
AVG toont je nu het Options-menu waarin je via de spatiebalk alle gewenste scanopties kunt activeren. Naast de standaardopties raden we je aan ook Scan inside archives aan te stippen. Levert de normale scanronde niets op en vermoed je toch een infectie, dan kun je de scan eventueel opnieuw uitvoeren in Paranoid Mode.
©PXimport
Na afloop van de scanronde krijg je dan een beknopt rapport. Bij malware-detectie kun je dan zelf bepalen wat er met de geïnfecteerde bestanden (individueel of in groep) moet gebeuren: overslaan, hernoemen of verwijderen.
17 BitDefender (1)
We laten nog een derde scanner los op ons systeem, die van BitDefender. Die neemt je vriendelijk met een wizard aan de hand. Allereerst haalt de wizard de nodige updates op. Vervolgens beland je in de antivirusmodule waarin je naast de knop Update Now nog de knoppen Scan Now en Settings aantreft. In dit Settings-menu kun je echter weinig aanpassingen doen. Wel kun je hier bepaalde schijfonderdelen uitsluiten, de maximale grootte van te scannen bestanden aangeven en duidelijk maken dat BitDefender ook archiefbestanden moet doorzoeken.
©PXimport
18 BitDefender (2)
Standaard begint BitDefender meteen aan een complete scan, maar desgewenst kun je dat proces onderbreken. Via de Scan Now-knop krijg je ook nog de gelegenheid aan te duiden welke locaties je precies wil laten scannen.
©PXimport
Naderhand krijg je dan een scanrapport te zien en kun je per geval aangeven welke actie je wil ondernemen. Desinfecteren lijkt ons de meest plausibele optie. Als dat niet lukt, dan kun je altijd nog de besmette bestanden hernoemen of verwijderen. De gevraagde acties voer je door met de knop Fix issues.
