T'was al een tijdje geleden (ik denk een jaar of 10), maar gisteren is er toch nog een malware in geslaagd om mijn PC ietwat om zeep te helpen.
Het ding bezigde de klassieke methode : vragen om geïnstalleerd te mogen worden (ik was juist bezig met andere software te installeren, en dan durf je dat in een onachtzaamheid wel eens doen), het resultaat :
- plots krijg ik wat meldingen (een hele hoop) dat mijn harddisk corrupt is, daarna mijn ram-geheugen en nog wat later start het ding terug op...
- Resultaat : een bijna blank scherm met enkel nog een startknop, die enkel nog de mappen bevat, geen pictogrammen meer, geen achtergrondfoto, enz...
Nu : niet getreurd : MBAM lost zoiets normaal makkelijk op. En ook nu : in veilige modus opgestart, MBAM gedownload en geïnstalleerd, laten scannen. Er worden 5 items gevonden : een roque.fakeHDD en nog een paar andere waarvan de naam laat vermoeden dat deze het startmenu heeft opgekuist... MBAM kan zonder problemen de malware opruimen, alleen de effecten ervan kan je met MBAM niet oplossen :
Die spullen worden trouwens steeds driester : met deze worden de meeste files op je harddisk hidden gezet (zodat ze in de normale verkenner niet meer terug te vinden zijn), daarnaast wordt van alle profielen alle snelkoppelingen verplaatst naar je temp directory in een aparte map. Dus je startknop wordt zowat leeg, je bureaublad wordt leeg, geen achtergrond meer, enz...
De snelste methode om je bestanden terug te zien is via de dosprompt een attrib *.* /s /d -h doen.
Daarna moet je nog je startmenu terug "invullen" door de bestanden in die temp-directory op de juiste plaats terug te zetten. De uitleg hiervoor kan je hier terugvinden.
Het is zowat de eerste keer dat ik een malware tegenkom dat ook bestanden beschadigd. De vorige keer was die 10 jaar geleden, maar dan waren het MP3 bestanden (dus dat is zo erg niet).
Voor zij die nu juichen dat OS X en linux van dergelijke zaken geen last hebben : deze moet ik helaas teleurstellen. Dergelijke malware duikt de laatste tijd ook op voor OS X, en daarnaast is geen enkele beveiliging in staat om dit tegen te gaan : als de gebruiker die software admin rechten heeft gegeven (wat ik dus ook gedaan had, omdat ik (naar ik dacht) die vraag kreeg voor andere software die ik aan het installeren was).
Ik vrees dat we niet veraf zijn van malware, die bv. (voor de leute) eens je "mijn documenten" folder wist bv gemaskeerd in een defragmentatieprogramma. Voor zij zonder backup zou dat eigenlijk erger zijn dan eens je windows die corrupt geraakt...
Nu : geloof niet te snel dat je hardware-problemen hebt als die als popup op je scherm worden vermeld. Windows toont dan normaal zo'n blauw scherm en niet zo'n popupje (en zeker geen hele stapel). Start je pc zo snel mogelijk op in veilige modus (via F8 bij het opstarten), neem "veilige modus met netwerkondersteuning", en laat die MBAM z'n werk doen : veel kans dat je problemen daarmee van de baan zijn.
Malware die bestanden hidden zet, of andere systeembestanden verplaatst ben ik nog niet veel tegengekomen, maar die malwaremakers worden dus blijkbaar steeds driester.
Een verwittigd man, is er 2 waard zeker...
Het ding bezigde de klassieke methode : vragen om geïnstalleerd te mogen worden (ik was juist bezig met andere software te installeren, en dan durf je dat in een onachtzaamheid wel eens doen), het resultaat :
- plots krijg ik wat meldingen (een hele hoop) dat mijn harddisk corrupt is, daarna mijn ram-geheugen en nog wat later start het ding terug op...
- Resultaat : een bijna blank scherm met enkel nog een startknop, die enkel nog de mappen bevat, geen pictogrammen meer, geen achtergrondfoto, enz...
Nu : niet getreurd : MBAM lost zoiets normaal makkelijk op. En ook nu : in veilige modus opgestart, MBAM gedownload en geïnstalleerd, laten scannen. Er worden 5 items gevonden : een roque.fakeHDD en nog een paar andere waarvan de naam laat vermoeden dat deze het startmenu heeft opgekuist... MBAM kan zonder problemen de malware opruimen, alleen de effecten ervan kan je met MBAM niet oplossen :
Die spullen worden trouwens steeds driester : met deze worden de meeste files op je harddisk hidden gezet (zodat ze in de normale verkenner niet meer terug te vinden zijn), daarnaast wordt van alle profielen alle snelkoppelingen verplaatst naar je temp directory in een aparte map. Dus je startknop wordt zowat leeg, je bureaublad wordt leeg, geen achtergrond meer, enz...
De snelste methode om je bestanden terug te zien is via de dosprompt een attrib *.* /s /d -h doen.
Daarna moet je nog je startmenu terug "invullen" door de bestanden in die temp-directory op de juiste plaats terug te zetten. De uitleg hiervoor kan je hier terugvinden.
Het is zowat de eerste keer dat ik een malware tegenkom dat ook bestanden beschadigd. De vorige keer was die 10 jaar geleden, maar dan waren het MP3 bestanden (dus dat is zo erg niet).
Voor zij die nu juichen dat OS X en linux van dergelijke zaken geen last hebben : deze moet ik helaas teleurstellen. Dergelijke malware duikt de laatste tijd ook op voor OS X, en daarnaast is geen enkele beveiliging in staat om dit tegen te gaan : als de gebruiker die software admin rechten heeft gegeven (wat ik dus ook gedaan had, omdat ik (naar ik dacht) die vraag kreeg voor andere software die ik aan het installeren was).
Ik vrees dat we niet veraf zijn van malware, die bv. (voor de leute) eens je "mijn documenten" folder wist bv gemaskeerd in een defragmentatieprogramma. Voor zij zonder backup zou dat eigenlijk erger zijn dan eens je windows die corrupt geraakt...
Nu : geloof niet te snel dat je hardware-problemen hebt als die als popup op je scherm worden vermeld. Windows toont dan normaal zo'n blauw scherm en niet zo'n popupje (en zeker geen hele stapel). Start je pc zo snel mogelijk op in veilige modus (via F8 bij het opstarten), neem "veilige modus met netwerkondersteuning", en laat die MBAM z'n werk doen : veel kans dat je problemen daarmee van de baan zijn.
Malware die bestanden hidden zet, of andere systeembestanden verplaatst ben ik nog niet veel tegengekomen, maar die malwaremakers worden dus blijkbaar steeds driester.
Een verwittigd man, is er 2 waard zeker...
Comment