Je besturingssysteem, in dit geval Windows, is (om het kort te houden) o.a. ontworpen om software te laten draaien op het systeem. Producenten over de hele wereld maken hun software zo dat deze geïnstalleerd kan worden op een Windows-systeem. Windows bevat enorm veel "opstart punten" om deze software te laten draaien na installatie, dit kan bijvoorbeeld gedaan worden op de meest gebruikte manier namelijk in het register onder "run" sleutels.
EXTRA
INFO:Windows slaat bijna alle gegevens en datastructuur op in het "register" – je kunt dit in biologische termen ook wel de hersenen van je systeem noemen. Hierin worden alle commando’s (impulsen) aangestuurd door het hele systeem. Het register is onderbouwd in "sleutels", elke sleutel stuurt iets aan. Zo heb je bijvoorbeeld de "Run"-sleutel die ervoor zorgt dat een uitvoerbaar bestand (.exe) wordt opgestart bij het opstarten van Windows.
Laten we een voorbeeld nemen, bijvoorbeeld MSN Messenger, dat kent tegenwoordig bijna iedereen wel. Bij het installeren van MSN Messenger gaat Windows alle datastructuur van MSN Messenger in het register verwerken. Automatisch zorgt de installatie van MSN Messenger er ook voor dat MSN Messenger automatisch opstart bij het opstarten van je systeem – er is dus een "Run"-sleutel aangemaakt in het register.
Deze legitieme manier van uitvoeren van software kan ook gebruikt (misbruikt) worden door malafide software die een kwaadaardige code uitvoeren of andere software infecteren. Het infecteren moet je ongeveer zo zien: in de biologie is een virus een string DNA, deze kan zich tussen het DNA van een levend organisme vestigen om zich zo in leven te houden, zo werkt dat met een computer virus ook, het heeft een gastheer nodig om te overleven. Het virus injecteert zich in een bestand (meestal .exe of .dll) en voert vanuit daaruit kwaadaardige commando’s uit.
Wanneer een malware-bestand zich in de "Run"-sleutel heeft geplaatst, zal dit bestand zich elke keer opstarten bij het opstarten van het systeem en verder gaan met het aansturen van kwaadwillige commando’s. Een voorbeeld is het weergeven van vele pop-ups of nagemaakte Windows waarschuwingen laten zien die je proberen een (nep)product aan te smeren. En zo zijn er nog vele andere manieren om malware te laten opstarten in een Windows omgeving.
Het verwijderen
Voordat je gaat beginnen met het verwijderen van malafide software wordt altijd aangeraden eerst al je tijdelijke mappen eens leeg te maken. Malware gebruikt enorm vaak de tijdelijke mappen om "tijdelijk" daar malafide bestanden te plaatsen en deze te openen, vaak valt malware hier tussen niet op. Omdat we in een later stadium ook gaan scannen met een anti-virusscanner is het handig de tijdelijke mappen leeg te hebben, dit kan enorm veel tijd winnen. Als de scanner alle bestanden in de tijdelijke mappen nog zal moeten scannen, ben je daar zo enorm veel tijd kwijt.
Dit geldt trouwens ook voor andere processen zoals bijvoorbeeld defragmenteren of comprimeren.
STAP 1
Zorg ervoor dat de onderstaande mappen leeg zijn (de mappen niet verwijderen!). Van de onderstaande mappen zijn er een aantal standaard verborgen in Windows, je kunt de lokatie van de map altijd nog in je adres balk plakken of via Start -> Uitvoeren. Hou er rekening mee dat je altijd Internet Explorer moet sluiten als je deze mappen leegt en mocht een bestand zich niet willen laten verwijderen kan je "veilige modus" proberen.
X:\Windows\Temp
X:\Windows\Prefetch
X:\Documents and
Settings\\Onlangs geopend
X:\Documents and
Settings\\Local Settings\Temp
X:\Documents and
Settings\\Local Settings\Temporary Internet Files
X:\Documents and
Settings\
\Local Settings\Temporary Internet Files\content.ie5
Het is belangrijk dat elk systeem een realtime anti-virusscanner heeft geïnstalleerd staan. Hiermee wordt bedoelt dat je een actieve anti-virusscanner moet hebben die je systeem in de gaten houdt en elke seconde je systeem beschermt tegen malware. Elke scanner ziet wel eens iets over het hoofd of is niet in staat om een malafide bestand te verwijderen.
STAP 2
Start je anti-virus software op en haal de laatste updates/definities op. Na het updaten van je anti-virus software ga je een volledig systeem scan (full system-scan) uitvoeren, ook dit wordt aangeraden om in "veiligmodus" te laten uitvoeren.
EXTRA
INFO:Windows heeft verschillende manieren van opstarten, normale modus waar iedereen normaal ingesproken in werkt, veilige modus, veilige modus met netwerkondersteuning en veilige modus met opdrachtenprompt. In veilige modus worden bijna alle opstart-items die niet essentieel zijn voor het besturingssysteem uitgeschakeld zodat er "veilig" gebruik kan worden gemaakt van Windows.
Omdat de meeste scanners nog altijd afhankelijk zijn van bekende definities (malware dat betekend is bij de anti-virus software) kan het zijn dat de scanner sommige malware over het hoofd ziet omdat deze nieuw is. Het wordt daarom ook aangeraden om een tweede stand-alone scanner te gebruiken (bijvoorbeeld Dr.Web CuteIt of MalwareBytes’ Anti Malware) om een extra scan uit te voeren. Persoonlijk raad ik MalwareBytes’ Anti Malware aan.
STAP 3
Download MalwareBytes’ Anti-Malware en sla het op je bureaublad op. Dubbelklik op mbam-setup.exe om het programma te installeren.
Zorg dat er na de installatie een vinkje is geplaatst bij:
- Update MalwareBytes’ Anti-Malware
- Start MalwareBytes’ Anti-Malware
Indien een update gevonden wordt, zal die gedownload en geïnstalleerd worden.
- Zodra het programma gestart is, ga dan naar het tabblad "Instellingen".
- Vink hier aan: "Sluit Internet Explorer tijdens verwijdering van malware".
- Ga daarna naar het tabblad "Scanner", kies hier voor "Snelle Scan".
- Druk vervolgens op "Scannen" om de scan te starten.
- Het scannen kan een tijdje duren, dus wees geduldig.
- Wanneer de scan voltooid is, klik op OK, daarna "Bekijk Resultaten" om de resultaten te zien.
- Zorg ervoor dat daar alles aangevinkt is, daarna klik op: "Verwijder geselecteerde".
- Na het verwijderen zal een log openen en zal er gevraagd worden om de computer opnieuw op te starten.
Mocht je hierna nog altijd problemen hebben met malafide problemen, kan je hulp zoeken door middel van het programma HijackThis. Over de hele wereld zijn er getrainde helpers in het verwijderen van malafide software. HijackThis maakt een logfile aan van 24 verschillende opstart-items en aan de hand hiervan kan er een diagnose worden gesteld voor verdere verwijder instructies van de malafide software.
Je kunt hulp vragen op een van de volgende websites:
Uit de wereld helpen
Om even iets uit de wereld te helpen… vaak wordt er beweerd dat als je jou systeem een aantal dagen terug zet met behulp van Systeemherstel dat dit dan helpt tegen malware – dit is dus niet zo. Systeemherstel doet eigenlijk niets anders dan INSTELLINGEN van je systeem terug zetten naar een eerdere status. Denk hierbij aan bijvoorbeeld waardes in het register of instellingen van software. De malafide bestanden zullen altijd nog aanwezig blijven zijn, en malware maakt niet alleen gebruik van het register, er zijn nog vele andere manieren voor malware om zich te laten opstarten.
BRON: Daniel's Blog
Geen opmerkingen:
Een reactie posten