Bijdragen van: Frederic
Bonroy, Andrew Lee en Brian J Goggin
Je bent waarschijnlijk op deze
pagina terechtgekomen, omdat je computer niet meer naar behoren functioneert.
Het kan zijn dat je wel eens gehoord hebt, dat computervirussen een computer
rare dingen kan laten doen en nu denk je dat je een virus hebt. Voordat
je verder gaat...
Geen paniek!!
Dit is heel belangrijk. Een
virus betekent niets meer en niets minder dan dat er een programma op je
computer is dat daar niet thuishoort. Zo simpel is het, dus er is echt
geen reden tot paniek. Eigenlijk kan een computergebruiker in paniek gevaarlijker
zijn dan wel virus dan ook! Gebruikers richten vaak meer schade aan tijdens
het verwijderen van een virus, dan het virus zelf ooit kan kunnen doen.
Paniek kan lijden tot het doen
van twee zeer onverstandige dingen: formatteren en het gebruik van FDisk.
Formatteren
Je kan geruchten gehoord hebben,
dat er een onfeilbare methode is om een virus te verwijderen, namelijk
formatteren. Formatteren is een proces, dat zeer effectief alle opgeslagen
data van een opslagmedium verwijderd (al si dit niet de werkelijke bedoeling
van formatteren) inclusief elk virus. Wel, geloof niet in deze geruchten.
Het is namelijk niet altijd waar. In feite kan het werken, maar
formatteren is een slecht idee om de volgende redenen:
-
Formatteren is in de meeste
gevallen absoluut overbodig. De meeste virussen kunnen vrij eenvoudig verwijderd
worden.
-
Formatteren en installeren van
besturingssysteem en alle andere programma's is tijdrovend.
-
Verlies van data kan optreden als
je vergeet een kopie te maken voordat alles wordt verwijderd.
-
Formatteren kan alles verwijderen,
maar juist niet het virus.
FDisk
Sommige van jullie hebben vast
wel eens gehoord van een wondermiddel genaamd Fdisk (meestal in verband
met zogeheten "boot sector virussen" of de MBR). De MBR is een kleine sector
op de harde schijf dat een klein programma en partitie gegevens bevat.
De waarheid omtrent Fdisk is dat het handig kan zijn, maar ook kan resulteren
in het verlies van data. Als je niet exact weet met welk virus je
van doen hebt, dan kan Fdisk zeer destructief zijn!! Fdisk is zeker geen
antivirus programma, dus gebruik het niet.
Zo, nu weet je wat je niet
moet doen, hier volgt wat je wel moet doen:
1. Onderscheid tussen een
virus en een "normaal" hardware of software probleem.
Het woord "virus" schiet veel
gebruikers door het hoofd als hun computer niet meer naar behoren functioneert.
In de meeste gevallen liggen virussen niet ten grondslag aan het probleem.
Een virus zoeken wat er niet is, is logischerwijs nutteloos.
Onderstaande lijst geeft een
aantal symptomen welke op een virus kunnen wijzen. Gezien dat ik zei "kunnen"!
Niet één van deze symptonen wijst op aanwezigheid van een
virus!
-
De computer wordt trager.
-
Het besturingssysteem of programma's
geven ongewone foutmeldingen.
-
Vreemde boodschappen op het scherm
(groeten, beledigingen, etc.)
-
Je ziet onbekende grafische effecten
op het scherm.
-
Regelmatig verlies van data vindt
plaats.
-
Regelmatig vastlopen van programma's.
Helaas doen programma's dit wel vaker, maar als het zeer frequent voorkomt
dan is er reden tot enig wantrouwen.
-
Het besturingssysteem of programma's
kunnen niet meer opgestart worden.
Tot slot, het meest betrouwbare
symptoom: Je virus scanner
meldt een virus!
(Als blijkt dat het toch geen
virus is, dan zijn er duizenden *nieuwsgroepen waar je om raad kunt
vragen. Raadpleeg de handleiding of de online help van je email programma
of nieuwslezer om een lijst van de aanwezige nieuwsgroepen te krijgen en
hoe er lid van te worde. Nu we het toch over nieuwsgroepen hebben, probeer
je zoveel mogelijk te houden aan de geldende richtlijnen voor Netiquette
en lees altijd eerst de meestgestelde vragen (FAQ) van de nieuwsgroep voordat
je een vraag stelt.)
*Een
kleine lijst van nuttige nieuwsgroepen:
alt.comp.periphs.*
hierarchy
alt.comp.hardware.overclocking
microsoft.public.win95.*
microsoft.public.win98.*
microsoft.public.windowsme.*
microsoft.public.win2000.*
microsoft.public.windows.inetexplorer.*
many, many more
2. Identificeer het virus
Als je weet dat je een virus
hebt, omdat je scanner dit aangaf, schrijf dan de exacte naam van het virus
op. Dit is belangrijk want er bestaan verschillende virussen en de manieren
om ze te verwijderen zijn ook verschillend. Zelfs virussen van eenzelfde
familie kunnen verschillen in de manier waarop ze verwijderd dienen te
worden!
Heb je nog geen virus
scanner gestart, doe het nu.
2.1 De virus scanner rapporteert
het "Eicar" virus
Een virus genaamd "Eicar" bestaat
niet.
De virus scanner heeft simpelweg een bestand gevonden wat ook bekend staat
onder de naam Eicar antivirus testbestand. Het helpt de virus scanner te
testen of deze inderdaad correct werkt. Bestand is gevonden, dus de virus
scanner werkt.
Dit bestand is onschuldig
en je kan het zonder problemen verwijderen. Ga naar de volgende web pagina
voor meer informatie: http://www.eicar.org/anti_virus_test_file.htm
2.2 De virus scanner rapporteert
het "Bloodhound" virus
Een virus genaamd "Bloodhound"
bestaat niet. "Bloodhound" is de naam van de heuristieke machine
van Norton Antivirus (gezien de melding gebruik je waarschijnlijk Norton
Antivirus). De heuristieke machine is onderdeel van de virus scanner welke
onbekende virussen tracht te ontdekken gebaseerd op waarschijnlijkheden.
De Bloodhound waarschuwing geeft aan dat Norton mogelijk een onbekend virus
heeft gevonden. Kijk in paragraaf 2.3.
2.3 De virus scanner rapporteert
een onbekend virus
Hedendaagse scanners zijn capabel
tot het detecteren van sommige onbekende virussen (niet allemaal natuurlijk).
Deze technologie heet "heuristiek" en terwijl het heel nuttig kan zijn,
slaat dik ook regelmatig vals alarm. Om te bekijken of je met een echt
virus of een vals alarm van doen hebt, zijn er een aantal punten het overwegen
waard:
-
Is de virus scanner bijgewerkt?
Een "onbekend" virus gevonden
door een scanner die al een aantal maanden oud is, is waarschijnlijk niet
meer onbekend. Zorg dat je scanner bijgewerkt is (de scanner software en
de virus definitie bestanden) en scan het bestand nogmaals. Met een bekend
virus is veel makkelijker om te gaan dan met een niet bekend. Als het een
vals alarm is, dan heeft de leverancier het probleem mogelijk al opgelost.
-
Is de virus scanner te agressief?
Bij sommige scanners kan je
het niveau van de heuristieke machine instellen. Hiermee kan je aangeven
hoe agressief de virus scanner naar onbekende virussen zoekt. Als het niveau
te hoog is, kan je talloze valse alarmen krijgen en is het lastig om de
"serieuze" meldingen te vinden. Let op dat het NIET een goed idee is om
een bestand virus onbesmet te betitelen als je het niveau verlaagd hebt!
-
Kan het verdachte bestand virus
code bevatten?
Heuristiek gecombineerd met
een volledige scan van alle bestanden ongeacht de bestandsextensie is zelden
een goed idee. De scanner zal zeker bestanden als besmet rapporteren, terwijl
deze geen virus kunnen bevatten (.bmp, .jpg, .wav, etc.).
Pas op voor dubbele extensies!
(Een bestand
kan meer dan één extensie hebben; de laatste geeft altijd
het bestandstype weer, maar Windows laat dit standaard niet zien mits de
extensie bestaat. Dit betekent dat een bestand genaamd hello.txt.exe, als
voorbeeld, getoond zal worden als hello.txt. Het lijkt een onschuldig tekstbestand
te zijn, maar in werkelijkheid is het een uitvoerbaar programma dat een
virus kan verbergen.)
-
Is het een legitiem programma?
Schijf formatteer gereedschappen
en soortgelijke programma's kunnen als geïnfecteerd weergeven worden
omdat zij potentieel gevaarlijke code bevatten.
Als je eenvoudig wilt weten of
een bestand een virus bevat, dan is je beste keus dit naar een antivirus
bedrijf te sturen. Hier is een lijst van email adressen:
Een paar opmerkingen:
-
Zend het bestand naar zoveel
antivirus bedrijven als je wilt, maar vergeet het vooral niet te zenden
aan het bedrijf dat de scanner heeft ontwikkeld welke het virus rapporteert.
-
Voordat je een bestand verzend,
kijk op de website van het antivirus bedrijf. Misschien zijn er wel specifieke
instructies. Bijvoorbeeld sommige antivirus bedrijven willen bestanden
als wachtwoord beveiligd zip-bestand ontvangen.
-
Open of start het bestand NIET
totdat bevestigd wordt dat het niet geïnfecteerd is.
-
Er zijn berichten dat Symantec
virus lab bestanden in eerste instantie als niet geïnfecteerd rapporteert
en in tweede instantie weer wel. Dus is het een goed idee om het bestand
ook naar een ander antivirus bedrijf te versturen en niet op het woord
van Symantec alleen af te gaan.
2.4 Verschillende virus scanners
zijn het oneens of een bestand geïnfecteerd is
Zorg er voor dat de scanners
bijgewerkt zijn. Zend het bestand naar de respectievelijke antivirus bedrijven
voor analyse als het probleem blijft, zelfs na bijwerken van de scanners.
2.5 Verschillende virus scanners
vinden afwijkende virussen
Verschillende antivirus bedrijven
kunnen een virus een andere naam geven (dit gebeurt vaak!). Vergelijk de
beschrijvingen van de virussen in de virus encyclopedie van de scanner
leverancier. Je kan ook naar de virus naam zoeken in de VGrep database
(http://www.virusbtn.com/VGrep).
Weet wel dat deze een tijd niet is bijgewerkt. Als de namen of omschrijvingen
niet kloppen, zend het bestand voor analyse.
2.6 De scanner rapporteert
een virus in het geheugen
Veel virussen blijven actief
in het geheugen als ze worden uitgevoerd. Dit geeft ze de kans om andere
bestanden te infecteren als deze geopend worden. Aangezien de meeste virussen
zichzelf verstoppen om meer succes te hebben proberen ze zelfs de antivirus
scanner om de tuin te leiden of zelfs uitschakelen. Virussen die zichzelf
verstopen heten "stealth" virussen. Sommige van deze verwijderen zichzelf
uit een bestand voordat de scanner dit bestand opent en infecteren het
weer als de scanner het bestand gecontroleerd heeft! Gezien dit gegeven,
is het geen goed idee om bestanden te desinfecteren als een virus actief
is in het geheugen. Je kan gemakkelijk meer bestanden infecteren. Er zijn
een paar dingen waar je aan moet denken als je scanner een virus in het
geheugen vindt:
-
Weet zeker dat er echt een
virus in het geheugen is. Let op dat het niet noodzakelijk is om de instructies
in de volgende 2 paragrafen te volgen. Je kan ze veilig overslaan. Ze worden
hier alleen vermeld ter volledigheid en als ze je van de wijs brengen,
sla ze over.
Er kan een vals alarm zijn.
Een mogelijkheid van een vals alarm (hoewel niet gebruikelijk) is dat er
twee scanners tegelijkertijd gebruikt worden.De eerste scanner kan scan
gegevens (korte, virusachtige code om virussen op te sporen) in het geheugen
plaatsen, terwijl de tweede scanner deze gegevens als een virus rapporteert.
Dit is mogelijk, maar zal alleen voorkomen bij oudere of slecht geprogrammeerde
scanners. De meeste moderne scanners gebruiken een verbeterde techniek.
Om te controleren op een vals
alarm, sluit de scanner en start deze opnieuw. Als je een DOS scanner in
een DOS venster in Windows gebruikt, sluit dan het DOS venster, open deze
opnieuw en start de scanner. Je kan ook de virus omschrijving opzoeken
in een virus encyclopedie om te kijken of het virus in het geheugen geplaatst
wordt. Heb je nog steeds twijfels en denkt dat er een virus is, lees dan
verder.
-
Sommige scanners claimen dat ze
virussen in het geheugen kunnen verwijderen en doen het ook daadwerkelijk,
maar het wordt zeer aangeraden om te controlen dat er geen virus
in het geheugen is voordat je begint met desinfecteren.
De enige manier om zeker te zijn
dat er geen virus in het geheugen is, is om op te starten van een schone
opstart schijf (meestal een diskette) en dan een DOS antivirus scanner
van diskette te starten. Aangeraden wordt om dit in alle gevallen te doen,
als je vermoed dat je een virus in het geheugen hebt.
Om te controleren of je een
virus in het geheugen hebt, dat zichzelf verstopt voor de (Windows) scanner,
zal je van een schone opstart diskette en een DOS scanner gebruik moeten
maken. Doe dit altijd als je denkt dat je een virus hebt. Dit is niet nodig
als je alleen maar bestanden wilt controleren die je net hebt gedownload
of om een routine scan uit te voeren.
2.7 De scanner rapporteert
meerdere infecties
In sommige gevallen kan een
bestand met een virus besmet zijn en dan besmet een andere virus het reeds
geïnfecteerde bestand. In dit geval (of elk geval waarin een uitvoerbaar
programma geïnfecteerd is), wordt sterk aangeraden om het geïnfecteerde
bestand te verwijderen en van een kopie terug te plaasten.
Als het niet mogelijk is om
het bestand van een kopie terug te plaatsen, dan kan je zeker proberen
het bestand te desinfecteren. Echter, je moet altijd een nieuwe scan uitvoeren
als je een bestand met behulp van een antivirus programma hebt gedesinfecteerd.
Dit is om er zeker van te zijn, dat er geen virussen zijn achter gebleven
door het probleem van meerdere infecties. AVP/KAV
is erg goed in het desinfecteren van dit soort meerdere infecties.
* Houdt er rekening mee, dat
het desinfecteren van bestanden je systeem soms instabiel kan maken.
3. Verzamel informatie
Weet wie je vijand is. Zoek
voor de virus naam in een virus
encyclopedia. Het is altijd handig te weten wat je virus wel of niet
doet. De virus beschrijving kan ook tips geven hoe het te verwijderen en
advies geven waar je voor moet oppassen. Al je virus scanner een optie
geeft om het virus te verwijderen en dit met succes doet, dan kan je deze
stap overslaan.
4. Vind het virus
In het algemeen wordt aangeraden
om geïnfecteerde bestanden te vervangen met een schone kopie. Dit
betekent: Verwijder geïnfecteerde bestanden en installeer desbetreffend
programma opnieuw of vervang het bestand van een back up. Je maakt toch
regelmatig backups van je gegevens, of niet?
Laat je scanner alle schijven
scannen en een rapport generen. Dit rapport zal de namen van de geïnfecteerde
bestande weergeven.
Let op:
-
Als je het geïnfecteerde
bestand net per email of op diskette hebt ontvangen en je hebt het niet
geopend, dan is er niets aan de hand. Als het op een diskette staat, open
het niet. Als het via email kwam, verwijder de email met bijgevoegd bestand
uit de inkomende email en uit de prullenbak. Laat vervolgens het email
programma de verschillende mappen opschonen. Je email programma heeft de
mogelijkheid om dit te doen op het moment dat je je email programma sluit.
Kijk in het menu om dit in te stellen.
-
Als je 'on-access'
scanner een virus rapporteert (de scanner die continue je system op de
achtergrond in de gaten houdt), dan zal het waarschijnlijk toegang tot
het geïnfecteerde bestand of email weigeren. Sluit de scanner, maar
vergeet niet deze weer te starten nadat je het geïnfecteerde ebstand
verwijderd hebt.
5. Verwijder het virus
Als je in staat bent om de geïnfecteerde
bestanden te verwijderen en te vervangen. doe dit dan. Dit is een betere
optie dan desinfecteren. Desinfectie kan wel of niet werken. Er is geen
garantie dat het virus echt weg is of dat het programma nog correct werkt.
Als je de bestanden niet kunt
vervangen, dan probeer je natuurlijk de bestanden te desinfecteren.
Houdt rekening met het gegeven,
dat het voor sommige virussen niet voldoende is om alleen de bestanden
te desinfecteren. Het kan zijn dat je gegevens in het register of virus
gerelateerde bestanden moet verwijderen. (Het register is een grote database
waarin Windows en andere programma's hun configuratie gegevens in opslaan.
Er staat een programma op je computer, genaamd Regedit, waarmee je gegevens
in het register kunt manipuleren). Er bestaan Instructies om deze virussen
met de hand te verwijderen. Zoek op de web sites van antivirus bedrijven
of vraag er naar in de nieuwsgroep alt.comp.virus. Een virus beschrijving
(zie stap 3) zou je moeten vertellen of dit noodzakelijk is.
De virus scanner raporteert
dat een bestand niet gedesinfecteerd kan worden!
Er kunnen 2 redenen zijn waarom
een scanner een bestand niet kan desinfecteren.
-
Het bestand is in gebruik en
daardoor niet benaderbaar. Dit betekent dat een programma het geïnfecteerde
bestand gebruikt, dus Windows geeft je geen toegang tot dit bestand. In
dit geval moet je het programma dat het bestand gebruikt en opnieuw proberen
te desinfecteren. Vaak is Windows het probleem zelf. De enige oplossing
is dan op te starten in DOS en een DOS virus scanner te gebruiken. Wsock32.dll
is een bekend voorbeeld van een bestand dat niet door een scanner in Windows
gedesinfecteerd kan worden.
-
Het vrius heeft het bestand vernietigd.
Sommige virussen overschrijven een gedeelte van een bestand, waardoor het
voor een virus scanner onmogelijk is dit bestand te herstellen. Je moet
het bestand dan verwijderen en vervangen.
6. Controleer dat het
virus weg is
Je denkt dat je de boosdoener
met succes verwijderd hebt? Mooi! Echter, controleer of dit echt het geval.
Sommige virussen zijn koppig en wijken niet af van hun doel, namelijk op
je computer blijven en zichzelf verspreiden naar andere computers.
Gebruik een virus scanner, nog
beter gebruik twee virus scanners (zorg dat ze beide bijgewerkt zijn) en
hoop dat ze niks zullen vinden. Je zou ook diskette's en CD-Roms moeten
scannen. Bericht mensen met je wie je data gedeeld hebt, dat je een virus
had en dat ze moeten opletten. Zelfs een simpele email gezonden ten tijde
dat het virus actief was is genoeg reden om ze te informeren!
7. Zorg dat het niet weer
gebeurt
Een virus verwijderen is goed,
een virus niet krijgen is beter, Lees en gebruik de Safe Hex regels die
je hier kunt vinden: http://claymania.com/safe-hex.html
Denk na over het feit dat jij
indirect waardevolle data van anderen in gevaar kan brengen als je onvoorzichtig
handelt, want virussen verspreiden zich!
