Hoe een bootsectorvirus te identificeren
Bootsectorvirussen begrijpen en hoe u ze kunt herkennen
Wat een bootsectorvirus precies is, kan behoorlijk verwarrend zijn, vooral omdat ze in de DOS-tijd een groot probleem waren. Het lastige is: ze infecteren het allereerste onderdeel van je opslagapparaat: de bootsector of de Master Boot Record (MBR).Dat betekent dat ze worden geladen voordat Windows of een ander besturingssysteem wordt opgestart. Als je systeem plotseling weigert op te starten, of als je vreemd gedrag opmerkt met je schijven, kan er een bootsectorvirus bij betrokken zijn. En, weet je, het simpelweg aansluiten van geïnfecteerde schijven kan de problemen veroorzaken zonder dat je op links hoeft te klikken of e-mails hoeft te openen. Het is dus cruciaal om deze virussen te herkennen en te weten hoe je ermee om moet gaan, vooral omdat ze zijn geëvolueerd tot bootkits die zich beter verbergen, maar nog steeds hoofdpijn veroorzaken. Je wilt er waarschijnlijk geen tegenaan lopen zonder te weten wat je moet doen. Het goede nieuws is dat de meeste antivirusprogramma’s deze infecties kunnen detecteren en verwijderen, als ze niet te sluw zijn. Maar soms is de enige zekere oplossing het opnieuw formatteren van de schijf of, in extreme gevallen, het opnieuw flashen van het UEFI BIOS van het moederbord om hardnekkige malware te verwijderen. Het is best heftig, maar voorkomen is beter dan genezen.
Hoe u een opstartsectorvirus in Windows kunt repareren
Controleer op signalen en bereid u voor op het oplossen van problemen
– Meestal verschijnt dit type virus tijdens het opstarten met een foutmelding, zoals een beschadigde opstartmelding of vreemde schijfactiviteit. Maak indien mogelijk een back-up van belangrijke gegevens voor het geval er iets misgaat.- Het is een goed idee om een opstartbare antivirusherstelschijf of -tool bij de hand te hebben. Tools zoals Windows Defender Offline van Microsoft of bootscanners van derden kunnen buiten het besturingssysteem scannen, wat belangrijk is omdat het virus zich kan verbergen zodra Windows actief is.
Methode 1: Gebruik ingebouwde Windows-hulpprogramma’s om opstartbestanden te repareren
– Start op in een herstelomgeving. U kunt dit doen door naar Instellingen > Bijwerken en beveiliging > Herstel te gaan en te kiezen voor herstarten in Geavanceerde opstartmodus.- Ga daar naar Problemen oplossen > Geavanceerde opties > Opdrachtprompt.- Voer de volgende opdrachten uit: bash bootrec /fixmbr bootrec /fixboot bootrec /scanos bootrec /rebuildbcd – Deze opdrachten repareren de opstartsector en bouwen de opstartconfiguratiegegevens opnieuw op. Soms wijzigt of beschadigt het virus deze, dus het helpt om ze te repareren.- Op sommige systemen kan `bootrec /fixboot` de foutmelding “toegang geweigerd” geven. Als dat gebeurt en u vertrouwd bent met PowerShell, kunt u proberen de bestaande opstartsector te verwijderen en deze opnieuw aan te maken met `diskpart` of met bcdboot.
Methode 2: Voer een opstartbare antivirusscanner uit
– Download een draagbare AV-tool zoals ESET SysRescue Live of Kaspersky Rescue Disk op een USB-stick.- Start uw geïnfecteerde computer op vanaf deze USB (meestal door tijdens het opstarten op F12 of F11 te drukken, afhankelijk van uw moederbord).- Voer de scan buiten Windows uit. Het virus kan zich natuurlijk verbergen of verstoren wanneer het besturingssysteem actief is, maar deze tools scannen op een lager niveau.- Volg de aanwijzingen om geïnfecteerde bestanden in quarantaine te plaatsen of te verwijderen.- Bij sommige installaties kan deze stap een kwestie van geluk zijn; bootkits zijn behoorlijk goed in het verbergen van zichzelf, dus raak niet in paniek als ze niet alles meteen wissen.
Optie 1: Windows opnieuw formatteren en opnieuw installeren (de nucleaire optie)
– Als de malware hardnekkig is en niet correct kan worden verwijderd, kan een volledige wisprocedure nodig zijn. Dit betekent dat de schijf moet worden geformatteerd, waardoor alle gegevens verloren gaan. Zorg ervoor dat u eerst een back-up maakt van alles.- U kunt dit doen vanuit de herstelomgeving of een Windows-installatie-USB/-dvd gebruiken om op te starten en Aangepaste installatie > Formatteren op uw schijf te selecteren.- Installeer Windows daarna opnieuw. Dit garandeert dat de meeste verborgen malware is verdwenen, maar het is wel omslachtig.
Optie 2: BIOS of UEFI van het moederbord opnieuw flashen
– Soms breidt de infectie zich uit tot in het BIOS/UEFI, met name bij bootkits die ontworpen zijn om formattering te overleven.- Het flashen van het BIOS houdt in dat u de nieuwste firmware downloadt van de website van de fabrikant van uw moederbord en hun tools gebruikt om te updaten. Wees voorzichtig: verkeerd flashen kan het moederbord blokkeren.- Als het virus het BIOS heeft geïnfecteerd, zou een flash het moeten wissen. Zo niet, dan is het vervangen van het moederbord mogelijk de enige oplossing, wat een drastische maatregel is.
Belangrijke details om in gedachten te houden
– Bijna alle bootsectorvirussen hebben de laatste twee bytes als 0x55en 0xAA. Als deze ontbreken, kan het opstartproces worden gestopt met een foutmelding, wat erop wijst dat er iets niet klopt.- Moderne bootkits infecteren USB-sticks of verwisselbare media niet op dezelfde manier als oudere bootvirussen. Ze zijn slim genoeg om verwisselbare schijven niet te infecteren, maar kunnen er nog steeds op worden opgeslagen.- Het gebruik van een betrouwbaar antivirusprogramma met volledige schijfscanfunctionaliteit, idealiter in offline modus, is de beste manier om deze kleine rakkers te pakken.
Samenvatting
- Bootsectorvirussen infecteren de allereerste opstartende apparaten, waardoor ze te vroeg opstarten.
- Symptomen zijn onder andere opstartfouten, vreemd schijfgedrag en zelfs een regelrechte opstartfout.
- Mogelijke oplossingen zijn onder meer het repareren van opstartbestanden, opstartscans, opnieuw formatteren of het opnieuw flashen van het BIOS.
- Maak altijd eerst een back-up voordat u grondige reparaties uitvoert, want het kan snel misgaan.
Afronding
Het verwijderen van bootsectorvirussen kan lastig zijn, vooral als ze al in bootkits zitten. Soms is het repareren van de bootsector met ‘bootrec’, het uitvoeren van een herstelschijf of opnieuw formatteren voldoende. Andere keren vereist hardnekkige malware een BIOS-flash of hardwarewissel. Onthoud: het gaat erom het in een vroeg stadium te detecteren en herinfectie te voorkomen. Hopelijk helpt dit iemand een complete meltdown te voorkomen.