PC geïnfecteerd met malware? Zo schoon je hem op!
Je werkt hard om je pc te beveiligen. Je houdt je antivirussoftware up-to-date, je vermijdt dubieuze websites, je opent geen verdachte e-mailbijlagen, je houdt Java, Flash en Adobe Reader up-to-date - of beter nog, je leert om zonder hen te leven. Desondanks is er een sluw Trojaans paard door de maz
Dit is een vrij vertaald artikel van onze zustersite PCWorld.com, geschreven door Lincoln Spector (@lincolnspector). Gebruikte termen kunnen in de Nederlandse versie van Windows anders worden weergegeven. De mening van de auteur komt niet per definitie overeen met die van ComputerTotaal.nl.
Hieronder beschrijven we een methodische aanpak waarmee je het probleem op je geïnfecteerde pc kunt identificeren, en je leert hoe je moet scannen en wat je daarna moet doen om de pc tegen toekomstige infecties te beschermen. Aan de slag dus!
1. Verifieer de infectie
Is de pc in kwestie daadwerkelijk geïnfecteerd? De eerste stap in het herstellen van de gezondheid van het systeem, is te bepalen of je te maken hebt met een virus in plaats van een hardware- of softwareprobleem (of gebruikersfouten).
Als je pc ongewoon traag is, of uit zichzelf allerlei dingen lijkt te doen waar je niet om gevraagd hebt, dan mag je inderdaad achterdochtig zijn. Maar ga eerst even naar de Windows Task Manager (klik met de rechtermuisknop op de Windows-taakbalk en selecteer Task Manager in het pop-up menu). Open het tabblad Processes, en controleer op vreemde of onbekende applicaties die op de achtergrond draaien - vooral apps met onzinnige namen en geen herkenbare autoriteit in de omschrijving.
Dit is natuurlijk slechts een algemene leidraad; niets weerhoudt een stukje malware ervan om zich met een onschuldige omschrijving als een legitiem proces voor te doen. Dat gezegd, je zult ervan versteld staan hoe vaak malware zichzelf verraadt door middel van een rij vreemde karakters of symbolen waar de procesomschrijving hoort te staan.
2. Controleer op duidelijke tekenen van malware
Echt verraderlijke malware zal ervoor proberen te zorgen dat je het niet zomaar kunt verwijderen. Als je pc opeens geen hulpprogramma's meer wil laden om handmatig malware mee te verwijderen (zoals msconfig of regedit) moet je op je hoede zijn. Als je antivirusprogramma ineens weigert te laden moeten de alarmbellen gaan rinkelen.
Soms is een aanval opvallender. Als een programma dat je niet herkent ineens allerlei waarschuwingen laat zien en je vraagt om een uitvoerbaar bestand te draaien of je creditcardnummer in te voeren, dan is je pc zeer zeker besmet met vervelende malware. Geef nooit je creditcardnummer of andere persoonlijke gegevens aan een programma of website die je probeert te waarschuwen dat je pc op sterven na dood is. Meestal gaat het om een vals beveiligingsprogramma - malware die je bang probeert te maken zodat je je persoonlijke gegevens weggeeft.
3. Zoek online naar mogelijke oplossingen
Het enige voordeel van die enge pop-ups is dat ze je in de richting van een remedie kunnen wijzen. Zoek op internet naar zinnen die in de pop-up worden gebruikt - je zult waarschijnlijk andere mensen tegenkomen die met dezelfde infectie worstelen. Hun ervaringen kunnen je helpen om je vijand te identificeren of zelfs stapsgewijze instructies te vinden om de malware te verwijderen. Wees voorzichtig: Volg alleen adviezen van sites die gerenommeerd lijken, en vergeet niet om - nadat je instructies gevolgd hebt - een volledige virusscan te draaien.
4. Ga ervan uit dat je oude virusscanner is aangetast
Verspil geen tijd aan het scannen van je harde schijven met je reguliere antivirussoftware. Die was er immers niet in geslaagd om de malware te onderscheppen. Zelfs het beste antivirusprogramma kan soms een nieuw of bijzonder slim ontworpen virus over het hoofd zien. En als het er eenmaal doorheen is geglipt, is je antivirussoftware gecompromitteerd.
Je hebt een nieuwe malware scanner nodig - eentje die niet al op je computer geïnstalleerd staat. De software moet in staat zijn om de malware te detecteren en te verwijderen, en moet in een omgeving kunnen draaien waarin de malware niet eerst kan laden. Linux is de beste keuze, maar probeer voordat je die optie kiest in Windows Safe Mode op te starten om te zien of je de virusbesmetting daar kunt oplossen.
5. Bitdefender en HouseCall
Windows heeft een Safe Mode die een minimale versie van het besturingssysteem opstart met generieke drivers en niets anders. De meeste opstartapplicaties worden niet geladen en (hoogstwaarschijnlijk) ook de malware waarmee je pc geïnfecteerd is niet. Om naar de Safe Mode te gaan, start je computer op en druk op de F8-toets voordat Windows begint te laden.
Selecteer Safe Mode with Networking uit de lijst met opties. Het is belangrijk dat je with Networking kiest, omdat je internettoegang nodig hebt om je virusprobleem op te lossen.
In de Safe Mode, open Internet Explorer (het gebruik van andere browsers is in deze modus vaak problematisch) en draai een gerenommeerde online virusscanner zoals Bitdefender. Voor de beste resultaten raad ik de ESET Online Scanner aan, een web-gebaseerde virusdetector die altijd up-to-date is en vanaf een server op afstand draait. Je moet een browser add-on accepteren, maar de scanner zou deze moeten verwijderen zodra hij klaar is. Klik voordat je gaat scannen op Advanced settings en vink zoveel mogelijk extra controleniveaus, waaronder het scannen van archiefbestanden en browserdata, aan.
Trend Micro's HouseCall is ook prima. Het is geen web-applicatie, maar je kunt het op een andere computer downloaden en naar een flashdrive kopiëren. Op die manier heb je altijd een draagbare virusscanner bij je. Als je dan in de problemen raakt kun je de flashdrive in de geïnfecteerde pc pluggen en het programma vanaf de drive draaien (je hebt wel nog steeds een internetverbinding nodig om de virusdefinities te updaten). Draai HouseCall niet met de standaardinstellingen: Ga eerst naar Settings en selecteer Full system scan.
Welke scanner je ook gebruikt, doorloop dit onderdeel van het proces niet gehaast. Controleer de opties en selecteer de traagste, meest grondige scan. Zodra de scan begint kun je even wat anders gaan doen.
6. Vergeet niet: De tweede scan is scheepsrecht
Draai, wanneer die eerste scan voltooid is, voor de zekerheid nog een scan met een andere scanner. Het is eenvoudig, en je bent geruster als meerdere scanners zeggen dat je pc schoon is.
7. Linux is je laatste verdedigingslinie
Het opstarten in de Safe Mode blokkeert niet altijd de meest kwaadaardige software. Als je nadat je in de Safe Mode meerdere scans hebt gedraaid nog steeds problemen hebt, zal je Windows geheel moeten omzeilen en kun je beter niet vanaf de harde schijf opstarten. Daarvoor heb je een bootable CD of flashdrive nodig met een Linux-gebaseerde antivirustool erop.
Voor deze stap is geen kennis van Linux vereist, maar je hebt wel een internetverbinding nodig omdat dergelijke scanners online hun malware database updaten.
Eerst moet je een bootable virusscanner als .iso bestand downloaden. Daarmee kun je eenvoudig een bootable CD maken. In Windows 7 moet je op het bestand dubbelklikken en de instructies volgen. In Windows 8, klik er met de rechtermuisknop op en selecteer Burn disc image. In oudere versies van Windows heb je een programma van derden nodig, zoals ISO Recorder (gratis).
Door zijn Windows-achtige gebruikersinterface zal je je met de Kaspersky Rescue Disk thuis voelen. Maar wees voorzichtig met het instellen van de scan. De Kaspersky Rescue Disk updatet de definities niet automatisch. Om dit handmatig te doen, selecteer het tabblad Update Center en klik op Start update. Zodra de tool up-to-date is ga je terug naar het tabblad Objects Scan. Klik daar op Settings en kies het hoogste beveiligingsniveau. Zorg dat alle harde schijven zijn aangevinkt voordat je begint te scannen en wegloopt.
Als je de Kaspersky Rescue Disk vanaf een flashdrive wilt opstarten zal je de Utility to record Kaspersky Rescue Disk 10 to USB devices moeten downloaden. Sla het op in dezelfde map als het .iso bestand, draai de tool, en volg de wizard.
De F-Secure Rescue CD is niet zo gebruiksvriendelijk als het programma van Kaspersky. Je kunt er zelfs door naar DOS gaan snakken. Maar het werkt. Je kunt het volgende (onnodig alarmerende) waarschuwingsbericht ontvangen: If a Windows system file is infected, the computer may not restart. Ik heb nog nooit van iemand gehoord dat zijn of haar Windows systeem na een F-Secure scan niet meer wilde opstarten, en ik vermoed dan ook dat dit een zeer zeldzaam verschijnsel is. Als er inderdaad een Windows systeembestand is aangetast vermoed ik ook dat F-Secure het niet kan opschonen zonder het te vernietigen - dus herinstallatie zou dan toch je enige optie zijn.
F-Secure heeft een uitgeklede, onaantrekkelijke tekst-gebaseerde gebruikersinterface. Maar in tegenstelling tot Kaspersky updatet het programma de virusdefinities zelf (als het een internetverbinding kan vinden), en het begint zonder gedoe een volledige, grondige scan.
F-Secure biedt geen speciale USB-tool. Als je het op een flashdrive wilt zetten moet je de Universal USB Installer downloaden en installeren. Onder Stap 1 zal je bijna onderaan een hele lange lijst F-Secure Rescue CD tegenkomen.
8. Bescherm je opgeschoonde pc
Probeer wanneer je denkt dat je pc echt schoon is Windows op te starten. Deïnstalleer vervolgens je oude antivirus programma - het is aangetast.
Je wilt natuurlijk niet onbeschermd blijven. Installeer het programma opnieuw en update het naar de meest recente versie, of (als je het vertrouwen erin kwijt bent) installeer een concurrent.
