[#] Wat als uw anti-virus software zelf uw PC aanvalt?

Het klinkt redelijk onvoorstelbaar maar het is intussen duizenden ‘AVG-antivirus Free’ gebruikers overkomen. AVG meende een Worm te ontwaren in de user32.dll file van hun XP Windows-installatie, Worm die er niet was.  Gevolg: duizende PC’s die niet meer konden opstarten.

De Nederlandse distributeur van de virusscanner AVG kreeg op 10 en 11 novmber 2008 ’rond de driehonderd telefoontjes per uur’ van computergebruikers die met problemen kampten. De oorzaak van de commotie is een foute update van de AVG-virusscanner, die afgelopen zondag 9 november 2008 is verstuurd. De nieuwe antivirussoftware beschouwde het Windows-bestand user32.dll, een belangrijk onderdeel van het besturingssysteem van Windows, als een Trojaans paard, een virus. Het volledige programma werd verwijderd bij het downloaden van de update. Gebruikers die hun pc aan lieten staan ondervonden geen probleem totdat ze hun computer uitzetten en later weer wilden opstarten.

AVG now DISTrusted by 80 million users

AVG now DISTrusted by 80 million users

Mensen deden hun PC binnen bij de computerwinkel moesten soms 14 dagen wachten eer ze hun geliefde Digitale Allesverbrander terug kregen en waren na afloop gemiddeld 50€ armer. AVG had intussen zelf een oplossing voor het probleem klaar, maar daar ben je vet mee als je computer niet meer opstart en je niet op Internet kan. Daar hadden ze waarschijnlijk niet aan gedacht bij AVG. De oplossing van AVG bestaat uit een BootCD die je kan downloaden, je vind die op: http://free.avg.com/faq.num-1577 Dit probleem werd echter in vele gevallen nog verergerd door PC-charlatans die de klok horen luiden hebben maar niet weten waar de klepel hangt.

Ze geven PC-gebuikers allerlei “goedbedoeld” advies. Probeer dat eens of dat. Trial and Error. Maar vooral Error. Als je niet weet wat je doet op een PC, doe je het beter niet! Meestal maakt men zo het probleem nog erger. Als een slechte kok een mislukt brouwsel zou proberen verbeteren door er op goed geluk  nog wat ingredienten aan toe te voegen,  misschien nog kamperfoelie of wat duivelskruid, een snuifje klerelijers en tenslotte hete paprika om alles te maskeren, dan zouden er op den duur veel mensen met een bloedgvergiftiging naar huis gaan en dan zou het eten nog naar niks smaken. Bovendien desactiveren sommige mensen hun Antivirus software en gaan dan surfen op Internet op zoek naar een oplossing voor hun probleem. Dit is je reinste kamikaze. Ook surfen met een Antivirus software waarvan de virus-handtekeningen niet regelmatig geupdated zijn is dat! Aangezien ze met zero bescherming allerlei sites bezoeken die ze gegoogeld hebben en waar ze dan als het even tegenzit de ene virus na de andere worm binnenhalen is het hek nu helemaal van de dam. Nooit op Internet gaan zonder bescherming. Het is als neuken met een heroïnehoertje zonder condoom.

Ik ga hieronder een enkele recht-toe-aan oplossing voor dit speciefieke AVG probleem voorstellen voor Windows XP

1) Trek de netwerk kabel achteraan je PC uit. Zorg dat er geen diskettes of CD ROMS of Memory Sticks meer inzitten en deïnstalleer AVG.  Leg je computer af.

2) Probeer een Anti-Virus Rescue disk op de kop te tikken, dit is een CD waarmee je uw PC kan opstarten vanop CD-ROM. Naar de PC-winkel nu als je er geen had en niet meer terecht kunt op een PC met Internet verbinding die niet besmet is. Als je nog terecht kunt op een niet besmette PC met een Internet verbinding kan je Images downloaden om op een CD te branden waarmee je dan kan opstarten. Er zijn er een aantal beschikbaar op Internet o.a. degene die ik reeds vermelde van AVG zelf Hier nog een: http://www.softpedia.com/get/Antivirus/Kaspersky-Rescue-Disk.shtml

Op deze site vind je meedere IMAGES: http://www.thefreecountry.com/security/antivirus-rescue-cd.shtml

De meeste Rescue-CD’s bevatten een Linux Life versie (in nood kent men Linux) en een Antivirus scanner die ook Windows schijven kan lezen en opschonen. Opgelet een Image branden op een CD is niet hetzelfde als een file copiëren op een CD, kijk eens goed naar de mogelijkheden die jouw CD-brand-software biedt.

3) Nu je zo’n Rescue CD hebt mag, je de fysische netwerkverbinding herstellen en je sticks er terug insteken. Steek de CD erin en start op. Als je ziet dat je PC terug van de harde schijf opstart en niet van de CD moet je in de BIOS-configuratie gaan om die zo in te stellen dat je PC wel opstart van CD ROM. Bon als dit te ingewikkeld is, ik ga dat niet verder uitleggen, want als je nu niet weet wat je moet doen kan je alleen maar een expert raadplegen. Ik ga hier niet aan mensen uitleggen hoe ze hun BIOS-configuratie moeten wijzigen, want dan hang ik ook de charlatan uit en laat ik mensen dingen doen die ze niet kunnen.

4) Als het toch lukt om van CD ROM op te starten: Eureka! Nu kan je verder. De CD ROM zal automatisch in de virus-scanner terecht komen en een SCAN uitvoeren. Dit kan een tijdje duren. Maar na die SCAN weet je redelijk zeker dat je PC proper is. Als deze procedure afgelopen is kan je de computer afleggen en opstarten met je originele installatie CD van Windows.

5) Het is niet de bedoeling dat je Windows opnieuw gaat installeren, deze CD geeft je de optie op een Repair of Herstel procedure uit te voeren. Kies dus R en NIET de procedure voor een compleet nieuwe installatie. Als er bestanden ontbreken of beschadigd zijn en de Repair procedure detecteert dit, dan zal Windows die terugzetten. Maar dit lukt niet altijd. Dus nu moet je toch nog de user32.dll terugzetten. Dit doe je door in de console te gaan en volgend commando aan de commando prompt uit te voeren: expand D:i386user32.dl_ c:windowssystem32 Vervang D: eventueel met de echte driveletter van je CD ROM Indien je geen originele Windows XP CD hebt voer dan de instucties uit die opgegeven worden op de volgende pagina http://www.nucia.nl/forum/showthread.php?p=392328 onder de hoofding ‘Indien je geen originele Windows XP CD hebt, voer de volgende instructie uit:’

6) Start terug op van de HD  en installeer nu terug Anti-virus software. Ik zelf zou AVG niet meer installeren nadat ze me zoiets gelapt hebben, bon maar ze hebben intussen hun fout hersteld. AVAST is een goed Free alternatief, maar er zijn nog goede. Een professionele kopen is ook een optie natuurlijk. Voor de experts wil ik nog volgende link opgeven: http://www.nucia.nl/forum/showthread.php?p=392328 In feite kan je bovenstaand scenario in zijn grote lijnen bij elke hardnekkige virus besmetting toepassen, behalve dan het deïnstalleren van de anti-virus software. Ik herhaal het schema eens en geef aan waarom elke stap gezet moet worden.

Algemene Procedure bij hardnekkige virus besmetting op je PC

antivirus_copy

1) Loskoppelen van Internet en alle verwisselbare media verwijderen. Loskoppelen van Internet om Wormen en Spyware het leven te bemoeilijken. Verwijderen van verwisselbare media om besmetting ervan te voorkomen of om te voorkomen dat een eventuele besmettingshaard op een van die media zich verder verspreid.

2) Zorgen dat je een antivirus Rescue CD ROM hebt waarmee je de computer kan opstarten en een antivirus programma kan lanceren. Als je die niet in huis hebt, ASAP in huis halen. Zie de referenties naar ISO’s hierboven als je die BootCD zelf wilt branden.

3) Opstarten van CD ROM. Die instelling in je BIOS die je CD station als primair opstart station aangeeft mag je gerust altijd laten staan. Als er geen BootCD in het CD ROM station zit zal jouw computer automatisch van de HD opstarten. Waarom opstarten van een CD ROM? Als je een virus of worm hebt binnengehaald weet je niet of het een stealth virus is of niet. Een stealth virus start op zodra het systeem opgestart is, verbergt zich in het geheugen en verdedigt zich vandaar daar tegen antivirus software. Dikwijls besmet hij ook jouw antivirus software zelf. Dus jij denkt dat die virussen verwijdert terwijl ze er lustig aanmaakt. Waarom moet je uw Internetverbindig herstellen? Omdat het programma op de CD ROM de laaste virusdefinities van het Net zou kunnen halen.

4) Een volledige SCAN en opkuis laten uitvoeren van al je schijven en verwisselbare media. Die stap spreekt voor zichzelf.

5) Het bestruingsysteem herstellen. Dit zal in de meeste gevallen niet nodig zijn, maar probeer een beetje te volgen welke bestanden de scanner in de kluis zet of verwijdert als hij de bestanden zelf niet kan opkuisen. Dit wil niet zeggen dat je de hele tijd moet zitten kijken, ga tijdens het scannen op je gemak iets anders doen, maar kijk achteraf in de Logfiles. Stel je antivirus software in op automatisch corrigeren en het aanmaken van een Log. Misschien zal je andere software, waarvan essentiële bestanden verwijderd zijn moeten herinstalleren.

6) In de laaste stap moet je natuurlijk niet je antivirus software terug installeren als je die niet gedeïnstalleerd hebt. Wat wel nodig is, een onmiddelijke update van je virusdata laten uitvoeren. Dikwijls betrap je een virus omdat de antivirus database niet up-to-date was.

Deze procedure heb ik niet uitgevonden. Ik heb 2 jaar als systeembeheerder voor McAfee gewerkt. Alhoewel mijn job vooral bestond uit het tunen van firewalls was ik perfect op de hoogte van de technieken en procedures van mijn collegas uit de antivirus afdeling.

Advertisements

2 thoughts on “[#] Wat als uw anti-virus software zelf uw PC aanvalt?

  1. Ik heb het ook allemaal meegemaakt en dacht ontsnapt te zijn aan de miserie.
    Maar sinds gisteren wilde AVG niet meer updaten. Ben het beu geworden en heb AVG 8.0 er afgezwierd en terug vervangen door 7.5.
    Vandaag weer alles oké!

  2. Leuke site!. Er zijn nog weinig goede sites over dit onderwerp te vinden.
    Ben blij met jullie post!
    Ik kan helaas geen bookmark aanmaken naar thewingsofthecarp.wordpress.com in Firefox. 😦 Weten jullie hoe dit komt?

    Groetjes Barbara

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s