Anti virus/spyware in de praktijk

Hieronder staat een overzicht van exercities die ik ooit eens heb uitgevoerd om malware te verwijderen. Het is een bonte verzameling van acties. Om een virus te kunnen verwijderen moet je vaak verschillende tools gebruiken, niet alle tools vinden alle virussen helaas, vandaar ook een verzameling van linkjes op deze site.

 

Onlangs kwam ik een PC tegen waar explorer.exe niet meer wilde starten na het opschonen met een virusscanner, blijkbaar had de virusscanner een bestand verwijderd (terecht) die opgestart moest worden in plaats van explorer.exe. De melding die werd gegeven als je explorer.exe probeerde te starten was: "kan bestand c:\windows\explorer.exe niet vinden". Door een key in de registry te verwijderen werkte het weer:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (hier vind je een verklaring voor dit onderdeel van de registry)

 

Wat ook kan helpen in dit soort gevallen is om eens te kijken in de volgende registry key:

HKEY_LOCAL_MACHINE\software\microsoft\winnt\currentversion\winlogon\Shell

Hier moet alleen explorer.exe staan, dus niets achter explorer.exe zoals bijvoorbeeld SSVICHOSST. EXE


 

 

Recentelijk kwam ik een PC tegen die om de haverklap een blauw scherm (BSOD) gaf, de melding was (volgens WinDbg): BugCheck 1000008E, {c0000005, 80599272, a7ebecac, 0}, de melding op het blauwe scherm was: 0x0000008E KERNEL_MODE_EXCEPTION_NOT_HANDLED.

 Bsod 0x0000008e1

Normaal gesproken duidt dit al snel op defecte hardware of een slechte driver, echter WinDbg vond dat het probleem veroorzaakt werd door ntkrpamp.exe, dit geeft aan dat het waarschijnlijk niet een driver is. Controle van het geheugen met Memtest gaf aan dat het geheugen niet de boosdoener was. Ergens op een website vond ik de vermelding dat deze problemen ook veroorzaakt kunnen worden door malware.

 

De windows installatie op de PC zelf was niet betrouwbaar meer, dus ik heb de PC opgestart met een bootable Windows CD (google maar eens op BartPE). Vanuit deze omgeving heb ik Malwarebytes opgestart. Al snel bleek de PC vol te staan met rommel: rootkits, virussen en spyware. Nadat Malwarebytes klaar was heb ik de PC opnieuw opgestart. De windows installatie op de PC gaf geen blauwe schermen meer. Nu vanaf de PC opnieuw Malwarebytes gestart en weer werd er wat gevonden. Vervolgens vond Norman Malwarecleaner ook nog het één en ander en de online versie van Bitdefender ook nog. Zo zie je maar, één virusscanner is niet genoeg.

 

 

Recent nog een andere PC tegengekomen. Als je je op deze PC aanmeldde (login) dan zag je heel even het bureaublad en hierna werd je onmiddellijk weer afgemeld (logoff). Degene van wie deze PC was had de dag voor dit fenomeen een melding van een virus gekregen en dit virus was verwijderd.
Blijkbaar was de registry van de PC aangepast, en wel het volgende pad:


HKLM/SOFTWARE/MICROSOFT/WINDOWSNT/CURRENTVERSION/WINLOGON/


Hier was de waarde van USERINIT aangepast en wees naar:
C:\WINDOWS\SYSTEM32\WINLOGON32.EXE

 

dit is dus niet de waarde die het moet zijn, het moet zijn:


C:/WINDOWS/SYSTEM32/USERINIT.EXE,


(dus inclusief de laatste komma). Na dit aangepast te hebben kon men weer gewoon aanmelden.

Op internet zijn overigens ook meldingen te vinden dat het bestand USERINIT.EXE weg is, een mogelijke oplossing is dit bestand van een andere PC afhalen en in de juiste folder plaatsen. Je kunt de registry aanpassen met bijvoorbeeld een opstartbare CD (bijvoorbeeld BartPE) met hierop de juiste tools (bijvoorbeeld RegistryLoaderPE).

Aanvulling:
Nog een PC voorbijgekomen met het direct hierboven beschreven probleem. Echter na het verwijderen van spyware met Malwarebytes (en de hierboven vernoemde registrywijziging) kon de webbrowser niet meer gebruikt worden (zowel IE als Firefox). Pingen naar webadressen lukte echter wel. Schijnbaar was er iets kapot gemaakt op netwerkniveau, de volgende opdrachten in een command prompt waren de oplossing:

 

netsh winsock reset catalog

en

netsh int ip reset reset.log

 

Hierna kon men weer surfen op het internet met de favoriete browser.