Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: [opgelost]Windows virus verwijderen onder Ubuntu  (gelezen 6118 keer)

Offline paultje1965

  • Lid
  • Steunpunt: Nee
[opgelost]Windows virus verwijderen onder Ubuntu
« Gepost op: 2013/01/14, 18:55:02 »
Ik heb zojuist een laptop binnen gekregen die getroffen is door het cybercrime virus. Ik heb de harddisk eruit gehaald en via USB aan mijn Ubuntu desktop gehangen. Ik heb nu toegang tot de disk. Is het op deze manier ook mogelijk om het virus te verwijderen?
« Laatst bewerkt op: 2013/01/16, 18:35:01 door paultje1965 »

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #1 Gepost op: 2013/01/14, 19:03:41 »
"Dit is een Ubuntu forum, ga met je Windows problemen lekker ergens anders heen"  :-X

Manier 1: Identificeer het virus, kijk of je kunt vinden welke bestanden hij gebruikt zodat je het handmatig kan verwijderen via Ubuntu.

Manier 2: Start Windows in veilige modus en voer een virusscan uit met de geïnstalleerde anti-virus, of gebruik Malwarebytes vanaf bijvoorbeeld een USB.

Manier 3: Zoek een rescue CD. Ik heb hier thuis Hiren's BootCD liggen, maar andere CD's zouden ook moeten werken, zoals Kaspersky's rescue CD.

Als laatste: probeer er achter te komen hoe het virus is binnen gekomen. Van de fouten leren :)
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit

Offline Thomas de Graaff

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #2 Gepost op: 2013/01/14, 19:18:05 »
Als je een virusscanner installeert in Ubuntu kan die neem ik aan iedere schijf die aangekoppeld is op virussen scannen. Meestal kan een virusscanner een virus ook verwijderen als deze gevonden is. Maar je zult dus wel eerst een virusscanner in Ubuntu moeten installeren. De vraag is dan wel of een virusscanner onder Ubuntu alle virussen in Windows kan vinden. Ik kan me voorstellen dat dat niet het geval is, en dat je een virusscanner nodig hebt die specifiek voor Windows is gemaakt.
« Laatst bewerkt op: 2013/01/14, 19:19:48 door Thomas de Graaff »

Offline Thomas de Graaff

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #3 Gepost op: 2013/01/14, 19:21:46 »

Offline Thomas de Graaff

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #4 Gepost op: 2013/01/14, 19:22:45 »

Offline paultje1965

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #5 Gepost op: 2013/01/14, 20:01:27 »
Ik wil het op deze manier doen omdat de eigenaar van de laptop zijn admin paswoord niet meer weet. Lekker handig....... Eerlijk gezegd ben ik ook niet zo handig met het verwijderen van virussen, in Ubuntu heb je daar immers niet zo last van. Ondertussen staat de laptop het inloggen met zijn user naam en paswoord ook niet meer toe. Ik krijg de melding dat Cfgmgr32.dll ontbreekt en kan nu niet meer doorstarten. Opstarten vanaf CD/USB en DVD is ook geblocked in de BIOS.
De enige benadering van de HDD was dus om het ding eruit te halen en even een externe USB behuizing te gebruiken. Dat werkt dus wel. De vraag is dus nu hoe ik het virus kan vinden. Lijkt me een vrijwel onmogelijke opgave omdat ik niet weet welk virus het precies is. Heb ook geen zin om mijn Ubuntu desktop te vertragen met een onnodige virusscanner.
Het is een vrij bekend virus, heb het bij collega's ook wel eens gezien. Je scherm wordt gelock met een bericht van de 'politie' met het bericht dat je onfatsoenlijke dingen gedaan hebt. Als je 100 euro betaald wordt de computer weer vrijgegeven. Ja, ja......

Wie wil er nu eigenlijk nog op Windows???? :police:

Enfin, ik begin het vermoeden te krijgen dat het wel een re-install zal worden. Ik ga toch nog even in jullie linkjes spitten. Ik kan er niet zo goed tegen om me gewonnen te geven.
« Laatst bewerkt op: 2013/01/14, 20:03:14 door paultje1965 »

Offline rja

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #6 Gepost op: 2013/01/14, 20:19:59 »
Backup de data.

Dat kun je zonder zorgen opnieuw installeren.


Offline paultje1965

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #7 Gepost op: 2013/01/14, 20:21:21 »
Heb ik gedaan, dat is in ieder geval het voordeel dat ik met mijn Ubuntu bak bij de disk kon.

Offline MauRice2

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #8 Gepost op: 2013/01/14, 21:53:36 »
Paultje,

Overlaats bij een kennis ook zo'n virus verwijderd. (Vista PC)
Het is me toch gelukt om die eraf te krijgen zonder format C:
Deze was een variant dat je zelf niet in safe-mode kon opstarten, enkel in de "dos-promt" omgeving.
De excact paden weet ik ook niet meer van buiten maar wat zoekwerk zal je er wel uitkomen.
Ik heb geen Windows machines....
Met je Ubuntu PC/Laptop naar die virus googlen, je vind er nuttige info, het mij ook geholpen.

Kort wat ik heb uitgevoerd....
Eens in die "dos-promt" -> explorer intypen en uitvoeren.
Dan zit je wel in de safe-mode.
Regedit opstarten.. -> Current User -> Winnt logon -> dat zal je iets vinden met "shell= explorer bla bla"
Daarmag alleen "shell=explorer" staat zonder de bla bla dus.
Verwijderen de bestanden wat naar die bla bla verwijst ook.
Msconfig opstarten en kijken bij de tab-blad "opstarten" of er ook niets verdacht in staat -> uitvinken.
In de map opstarten ook kijken of daar ook niet verdacht staat, ook verwijderen.

Met wat geluk start die PC normaal op, alle update's binnen halen een grondig de laten scannen.

Enige goede remedie om later niet nog eens te moeten doen...
Stel Ubuntu voor aan uw vriend/kennis.
 
« Laatst bewerkt op: 2013/01/14, 21:55:52 door MauRice2 »
MvG,
MauRice
Registered Linux user: 473556

Offline siegi

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #9 Gepost op: 2013/01/14, 21:57:56 »
Eigenlijk redelijk gemakkelijk. Wat zijn de uiterlijke kenmerken van het virus? Zoek op basis hiervan op internet een verwijderingshandleiding.
Meestal is het op enkele minuten geklaard.

Offline Pattattezak

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #10 Gepost op: 2013/01/14, 22:10:59 »
Een linkje omtrent het virus: http://answers.microsoft.com/en-us/protect/forum/protect_other-protect_scanning/national-spanish-police-virus/1d6ae086-be02-4503-afe0-aed2e950f8df
Een linkje omtrent het administrator paswoord: http://www.minatica.be/threads/79918-Supertip-de-verborgen-administrator-in-je-systeem
Verder ben ik nog nooit enthousiast geweest om een besmette Windows schijf aan een Linux computer te hangen. Laat virussen bij het besturingssysteem waar ze thuishoren?!

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #11 Gepost op: 2013/01/14, 22:22:39 »
Eigenlijk redelijk gemakkelijk. Wat zijn de uiterlijke kenmerken van het virus? Zoek op basis hiervan op internet een verwijderingshandleiding.
Meestal is het op enkele minuten geklaard.
Roep dat niet te vroeg. Ik dacht een keer dat ik wist om welk virus het ging. Zo gefixt. Maar nee, deze had een update gekregen: andere file namen, op andere locaties, bestand tegen anti-virussen maar wel hetzelfde effect met dezelfde melding. Malwarebytes kon de oude wel verwijderen, maar niet deze nieuwe. Andere anti-virus tools ook niet. Ik heb uiteindelijk alles met de hand in de safe-modus moeten doen, dus het kan zijn dat ik nog wat ben vergeten, maar het virus was inmiddels gelukkig wel onklaar.
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit

Offline Willemtk

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #12 Gepost op: 2013/01/15, 20:49:25 »
Als je een virusscanner installeert in Ubuntu kan die neem ik aan iedere schijf die aangekoppeld is op virussen scannen. Meestal kan een virusscanner een virus ook verwijderen als deze gevonden is. Maar je zult dus wel eerst een virusscanner in Ubuntu moeten installeren. De vraag is dan wel of een virusscanner onder Ubuntu alle virussen in Windows kan vinden. Ik kan me voorstellen dat dat niet het geval is, en dat je een virusscanner nodig hebt die specifiek voor Windows is gemaakt.

Ik denk dat virusscanners onder Ubuntu Windows virussen herkent. Ik heb er nu even 1 geïnstalleerd en die geeft ook aan dat er updates worden geleverd. Dus lijkt me dat alle virussen verwijderd kunnen worden na update. Eigenlijk scan je eerder(van internet gehaalde)  bestanden als je van plan bent die aan een windows gebruiker te schenken. Voor jezelf heb je die niet zo nodig lijkt. Ubuntu heeft (nog) geen virussen tot hiertoe en anders worden die met updates verwijderd lijkt me. Dus waarom zouden ze anders een virusscanner onder Ubuntu laten draaien?
« Laatst bewerkt op: 2013/01/15, 21:01:52 door Willemtk »

Offline Pattattezak

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #13 Gepost op: 2013/01/15, 21:15:36 »
Het "politievirus" vinden op een niet actieve Windows?? Dat lijkt mij onmogelijk? Het politievirus tast meerdere bestanden aan en heeft een goede hide functie. Of met andere woorden, enkel als de geïnfecteerde bestanden samenwerken, is het virus actief en opspoorbaar? Als uw Windows niet is opgestart en u verwijderd de tiental? besmette bestanden, dan zal u trouwens ook nog eens problemen krijgen om uw Windows opgestart te krijgen. Het is een mooi bewijs van welke mogelijkheden Windows zoal bied???  :evil:

Offline Bobbie

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #14 Gepost op: 2013/01/15, 22:18:17 »
Voor dat virus kan je (tijdelijk)  Hitman pro gebruiken http://www.surfright.nl/nl/hitmanpro
en naar het forum

http://www.hijackthis.nl/forum/index.php?sid=aa9987d65773819fbe93d2c44b890dad

daar is informatie hoe verder te handelen, om je register op te schonen e.d.

Offline Cumulus007

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #15 Gepost op: 2013/01/15, 22:40:16 »
Het "politievirus" vinden op een niet actieve Windows?? Dat lijkt mij onmogelijk? Het politievirus tast meerdere bestanden aan en heeft een goede hide functie. Of met andere woorden, enkel als de geïnfecteerde bestanden samenwerken, is het virus actief en opspoorbaar? Als uw Windows niet is opgestart en u verwijderd de tiental? besmette bestanden, dan zal u trouwens ook nog eens problemen krijgen om uw Windows opgestart te krijgen. Het is een mooi bewijs van welke mogelijkheden Windows zoal bied???  :evil:
Dat is het niet. De locatie is afhankelijk van de "mutatie" van het virus, maar meestal staat het in AppData\Local\Roaming met een naam van willekeurige tekens, eindigend op .exe. Zorg dat je een herstelschijf bij je hebt, want soms nestelt het zich ook in het register, en moet je explorer.exe als shell aanmerken, anders verschijnt je desktop niet.

Offline Pattattezak

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #16 Gepost op: 2013/01/16, 09:51:40 »
Dat is het niet. De locatie is afhankelijk van de "mutatie" van het virus, maar meestal staat het in AppData\Local\Roaming met een naam van willekeurige tekens, eindigend op .exe. Zorg dat je een herstelschijf bij je hebt, want soms nestelt het zich ook in het register, en moet je explorer.exe als shell aanmerken, anders verschijnt je desktop niet.
Dat de hide functie een bijkomstigheid is van de random choice die in het virus ingebakken zit, daar kan ik nog inkomen. Maar dat u het virus volledig kwijt geraakt door een gezonde kopie van het register en de map AppData/Local terug te zetten .... U mag dit gerust eens uittesten, ik ken het resultaat!

Offline Gompie

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #17 Gepost op: 2013/01/16, 11:11:43 »
Kijk hier eens:

http://www.nucia.eu/forum/forum.php?do=nucia_community_choose&nucia_community_id=1

Deze site is gespecialiseerd in het helpen bij  het verwijderen van een (rootkit)virus of trojan.

Offline paultje1965

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #18 Gepost op: 2013/01/16, 11:17:02 »
Als eerste bedankt voor alle tips. Met googlen vind je over het algemeen alleen maar tips om het virus op een actief Windows systeem te verwijderen, niet om het vanuit een andere Ubuntu omgeving te doen. Ik heb inderdaad ook dat *.exe bestand weten op te sporen onder Roaming en heb ook het een en ander verwijderd. Helaas startte het systeem daarna helemaal niet meer.
Gelukkig heb ik alle bestanden nog veilig kunnen stellen vanuit Ubuntu en de laptop wordt vandaag opnieuw geinstalleerd. Er schijnt een image te zijn dus dat maakt het gemakkelijk. Toch wel een ellende met dat politie virus. Blijkbaar is er een patch geweest voor Windows 7 om dit te verhelpen maar die zat blijkbaar niet in het image.

Wat ben ik op zulke momenten toch blij met Ubuntu, zo'n virus neemt je systeem toch wel brutaal even over en maakt het totaal onbruikbaar. In mijn Windows tijd had ik zelf daarom ook altijd een recent image achter de hand. Ik heb het regelmatig nodig gehad vanwege een verpest systeem b.v. door nieuwe software geinstalleerd met een printer. Dit soort aggressieve virussen heb ik gelukkig zelf nooit gehad.
« Laatst bewerkt op: 2013/01/16, 11:18:41 door paultje1965 »

Offline Cumulus007

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #19 Gepost op: 2013/01/16, 13:17:49 »
Dat is het niet. De locatie is afhankelijk van de "mutatie" van het virus, maar meestal staat het in AppData\Local\Roaming met een naam van willekeurige tekens, eindigend op .exe. Zorg dat je een herstelschijf bij je hebt, want soms nestelt het zich ook in het register, en moet je explorer.exe als shell aanmerken, anders verschijnt je desktop niet.
Dat de hide functie een bijkomstigheid is van de random choice die in het virus ingebakken zit, daar kan ik nog inkomen. Maar dat u het virus volledig kwijt geraakt door een gezonde kopie van het register en de map AppData/Local terug te zetten .... U mag dit gerust eens uittesten, ik ken het resultaat!
Nochtans heeft het alle keren succes gehad voor mij. Ik plaats geen kopieën terug van wat dan ook; ik herstel enkel de schade, die miniem is.

Na het verwijderen van de .exe in AppData\Local\Roaming kan het dus voorkomen dat de desktop niet meer laadt. In dat geval dien je de volgende registerwijziging aan te brengen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

Ik doe dit middels een herstelschijf van Windows Vista of hoger (XP wordt ook getroffen maar heeft geen regedit in de herstelconsole). Ik start regedit dan, laad vanaf de harde schijf de juiste hive in via het menu (C:\System32\Config\Software heet-'ie, zorg dat je eerst in regedit HKEY_LOCAL_MACHINE\SOFTWARE\ hebt geselecteerd) en draai de schade terug. Ik ontkoppel de hive en herstart de computer, en in mijn ervaring draait alles weer als een zonnetje.

Het is wellicht beter als deze discussie wordt afgesplitst en in Offtopic wordt gezet.
« Laatst bewerkt op: 2013/01/16, 13:34:20 door Cumulus007 »

Offline paultje1965

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #20 Gepost op: 2013/01/16, 13:45:04 »
Omdat ik geen admin ben kan ik ook niet bij regedit. Dat was ook de reden dat ik het vanaf mijn Linux bak probeerde. Wat mij betreft is het wel opgelost omdat de image terug gezet kan worden. Als dit draadje naar off-topic overgeheveld wordt blijf ik het toch volgen omdat het toch wel interessant is om uit te vlooien hoe ik vanuit een Linux omgeving virussen kan verwijderen in een inactief Windows systeem. Bijvoorbeeld met een live CD.
Het meeste kom ik op internet toch handelingen tegen die onder Windows zelf moeten gebeuren. Niet vreemd want de rest van de wereld draait nu eenmaal Windows.

Offline Cumulus007

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #21 Gepost op: 2013/01/16, 13:50:25 »
Omdat ik geen admin ben kan ik ook niet bij regedit. Dat was ook de reden dat ik het vanaf mijn Linux bak probeerde. Wat mij betreft is het wel opgelost omdat de image terug gezet kan worden. Als dit draadje naar off-topic overgeheveld wordt blijf ik het toch volgen omdat het toch wel interessant is om uit te vlooien hoe ik vanuit een Linux omgeving virussen kan verwijderen in een inactief Windows systeem. Bijvoorbeeld met een live CD.
Het meeste kom ik op internet toch handelingen tegen die onder Windows zelf moeten gebeuren. Niet vreemd want de rest van de wereld draait nu eenmaal Windows.
Je hoeft er ook geen admin voor te zijn, je hebt slechts een Windows-installatieschijf nodig. Druk op Shift+F12 tijdens het installatieproces, er komt dan een cmd.exe tevoorschijn, typ regedit en je kunt aan de slag.

Er is een handjevol tools die je vanuit Linux het Windows-register laten bewerken, al vertrouw ik dat niet zo. Ik gebruik liever de "officiële" gereedschappen.

Offline Dave

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #22 Gepost op: 2013/01/16, 13:55:41 »
de windows wachtwoorden resetten, heb je dat probleem ook gelijk verholpen.
de benodigde software vind je al in de 3e post van dit topic.
ook de antivirustools die je zoekt en vanaf die cd te draaien.

Offline paultje1965

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #23 Gepost op: 2013/01/16, 15:26:47 »
Even terug gegaan naar post 3. Het virus wordt helemaal niet gedetecteerd door de up-to-date virusscanner die op de laptop staat (Sophos). Het komt binnen omdat Flash niet de laatste update heeft gekregen, updaten kan ook al niet zonder admin rechten :(
Aangezien ik ook niet van CD/DVD of USB kan starten, geblokkeerd in de bios (paswoord), kan ik die Windows weg helemaal niet gaan.
Het tooltje om vanuit Linux de registry te editen is wel interessant. Zal er eens naar kijken.

Offline Cheap Applications

  • Lid
  • Steunpunt: Nee
Re: Windows virus verwijderen onder Ubuntu
« Reactie #24 Gepost op: 2013/01/16, 15:32:04 »
Aangezien ik ook niet van CD/DVD of USB kan starten, geblokkeerd in de bios (paswoord), kan ik die Windows weg helemaal niet gaan.
Je gaat me toch niet vertellen dat die persoon dat wachtwoord ook vergeten is...?
Het klinkt eigenlijk wel alsof de eigenaar niet bepaald zorgvuldig te werk gaat. Daar hebben ze nog geen anti-virus-software op gevonden.
Desktop:
Processor: Intel® Core™2 Quad CPU Q8300 @ 2.50GHz × 4, Geheugen: 3.9Gb, GPU: nVidia 220GT OS: Windows 7 64 bit / Ubuntu 12.04 64 bit
Notebook:
Processor: Intel® Core™ i7-4700MQ, Geheugen: 8Gb, GPU: nVidia GTX765m (met Optimus) OS: Windows 8 64 bit / Elementary OS Luna 64 bit